GitLab обнаружила множество уязвимостей в проектах своих клиентов

Эксперты сервиса GitLab выпустили свою оценку ИБ-трендов с акцентом на актуальные уязвимости. Отчет включает анализ на уязвимости тысяч проектов, использующих их хостинг, и рекомендации по подходам для повышения защищенности. 

Эксперты отметили следующие тренды:
1.       Ощутимо вырос процент проектов, имеющих проблемы с зависимыми библиотеками: с 26% на 69% – Рис. 1.

Рисунок1.png

Рис. 1 – процент проектов с уязвимыми зависимостями

2.       Значительно выросла частота проявления уязвимости отсутствия валидации ввода, которая позволяет выполнить инъекции и другие вредоносные действия – Рис.2.

Рисуонк2.jpg

Рис. 2 – Актуальные на август 2020 наиболее частые уязвимости

3.       Значительно выросло количество используемых пользователями библиотек, где обнаруживаются уязвимости – Рис. 3.

Рисунок3.jpg

Рис. 3 – зависимые библиотеки с уязвимостями

4.       Снизился процент проектов с контейнерами, имеющими уязвимости – с 52% до 41% – Рис. 4

Рисунок4.png

Рис. 4 – снижение процента проектов с уязвимыми контейнерами

5.       И самое интересное, что среди лидеров по году выхода уязвимости находится не 2020 год, а 2019 год, также не отстает 2018 год. Это означает, что отставание по устранению уязвимостей в среднем более года! – Рис. 5.

Рисунок5.png

Рис. 5 – Год обнаружения уязвимости и процент нахождения ее в проектах

По мнению компании Forrester, платформа Gitlab является одним из десяти лучших сервисов Software Composition Analyzers (SCA) для мониторинга и определения потенциальных рисков компонент Open Source, что указано в исследовании рынка “The Forrester Wave Software Composition Analyzers 2019”. 

Эксперты группы компаний Angara рекомендуют:

  • Чаще обращаться к анализу на Gitlab Security Dashboard.

  • Проверять и регулярно обновлять существующие зависимые пакеты.

  • Применять сканирование уязвимостей и сканирование исходного кода, как статическое, так и динамическое, с подходящей ИБ-компромиссной разработчикам регулярностью.

  • Надежно хранить пароли, сертификаты и другие ключи, используемые командой разработчиков.

  • Отслеживать новостные ленты и экспертные ресурсы на техники злоумышленников и опасные уязвимости и проверять свои продукты на подверженность им.


Другие публикации

Инструменты и технологии проактивной безопасности в e-Commerce

Цифровая трансформация является неотъемлемой частью любого бизнеса в современном мире, и она требует внедрения технологий проактивной безопасности для защиты данных и предотвращения кибератак. Об использовании передовых инструментов и средств защиты данных рассказывает Денис Бандалетов, руководитель отдела сетевых технологий Angara Security.

04.11.2024

Как сохранить свои данные в безопасности?

Отвечает директор по управлению сервисами Angara Security Павел Покровский.

01.11.2024

Рынок услуг управления уязвимостями в России: контроль поверхности атак

Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций.

30.10.2024

CNEWS: В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики

В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики. Об этом CNews сообщили представители Angara Security.

актуально
рекомендации

18.10.2024

Эксперты Angara Security представили рекомендации по защите банковского сектора от DDoS-атак

В течение нескольких дней 23 и 24 июля российский банковский сектор подвергся целенаправленным DDoS-атакам из-за...

актуально
рекомендации

16.10.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах