Противостоять кибератакам
GitLab обнаружила множество уязвимостей в проектах своих клиентов

Эксперты сервиса GitLab выпустили свою оценку ИБ-трендов с акцентом на актуальные уязвимости. Отчет включает анализ на уязвимости тысяч проектов, использующих их хостинг, и рекомендации по подходам для повышения защищенности. 

Эксперты отметили следующие тренды:
1.       Ощутимо вырос процент проектов, имеющих проблемы с зависимыми библиотеками: с 26% на 69% – Рис. 1.

Рисунок1.png

Рис. 1 – процент проектов с уязвимыми зависимостями

2.       Значительно выросла частота проявления уязвимости отсутствия валидации ввода, которая позволяет выполнить инъекции и другие вредоносные действия – Рис.2.

Рисуонк2.jpg

Рис. 2 – Актуальные на август 2020 наиболее частые уязвимости

3.       Значительно выросло количество используемых пользователями библиотек, где обнаруживаются уязвимости – Рис. 3.

Рисунок3.jpg

Рис. 3 – зависимые библиотеки с уязвимостями

4.       Снизился процент проектов с контейнерами, имеющими уязвимости – с 52% до 41% – Рис. 4

Рисунок4.png

Рис. 4 – снижение процента проектов с уязвимыми контейнерами

5.       И самое интересное, что среди лидеров по году выхода уязвимости находится не 2020 год, а 2019 год, также не отстает 2018 год. Это означает, что отставание по устранению уязвимостей в среднем более года! – Рис. 5.

Рисунок5.png

Рис. 5 – Год обнаружения уязвимости и процент нахождения ее в проектах

По мнению компании Forrester, платформа Gitlab является одним из десяти лучших сервисов Software Composition Analyzers (SCA) для мониторинга и определения потенциальных рисков компонент Open Source, что указано в исследовании рынка “The Forrester Wave Software Composition Analyzers 2019”. 

Эксперты группы компаний Angara рекомендуют:

  • Чаще обращаться к анализу на Gitlab Security Dashboard.

  • Проверять и регулярно обновлять существующие зависимые пакеты.

  • Применять сканирование уязвимостей и сканирование исходного кода, как статическое, так и динамическое, с подходящей ИБ-компромиссной разработчикам регулярностью.

  • Надежно хранить пароли, сертификаты и другие ключи, используемые командой разработчиков.

  • Отслеживать новостные ленты и экспертные ресурсы на техники злоумышленников и опасные уязвимости и проверять свои продукты на подверженность им.


Другие публикации

Информационная безопасность – больше не виртуальная угроза для компаний

Илья Четвертнев, заместитель генерального директора и технический директор Angara Security, в интервью для CyberMedia о том, каких ИБ-решений не хватает на российском рынке и почему растет спрос на MSS-сервисы

18.04.2024

Управление уязвимостями с помощью ИИ

Процесс управления уязвимостями играет важную роль в деле защиты инфраструктуры.

01.04.2024

Мошенники оценили СМС-сообщения

Мошенники стали выводить деньги с банковских счетов с помощью детей. Схема реализуется с помощью функции перевода денег через СМС-команды, доступной для клиентов Сбербанка.

26.02.2024

Отзыв лицензии у «Киви банка» спровоцировал всплеск подделок его сайта

Новость об отзыве лицензии у «Киви банка» спровоцировала всплеск регистрации и обновления доменных имен, похожих на имя кредитной организации, - qiwi.com. 

22.02.2024

Обнаружена группировка русскоязычных хакеров, которая пишет на неудобном языке программирования

В России обнаружена новая хакерская группировка, которая при атаке на корпорацию маскирует вредоносный код под аккаунты действующих сотрудников.

12.02.2024

Остались вопросы?

Получить консультацию

Понравилась статья?

Подпишитесь на уведомления о новых материалах

Подписаться