ENG
Противостоять кибератакам
GitLab обнаружила множество уязвимостей в проектах своих клиентов

Эксперты сервиса GitLab выпустили свою оценку ИБ-трендов с акцентом на актуальные уязвимости. Отчет включает анализ на уязвимости тысяч проектов, использующих их хостинг, и рекомендации по подходам для повышения защищенности. 

Эксперты отметили следующие тренды:
1.       Ощутимо вырос процент проектов, имеющих проблемы с зависимыми библиотеками: с 26% на 69% – Рис. 1.

Рисунок1.png

Рис. 1 – процент проектов с уязвимыми зависимостями

2.       Значительно выросла частота проявления уязвимости отсутствия валидации ввода, которая позволяет выполнить инъекции и другие вредоносные действия – Рис.2.

Рисуонк2.jpg

Рис. 2 – Актуальные на август 2020 наиболее частые уязвимости

3.       Значительно выросло количество используемых пользователями библиотек, где обнаруживаются уязвимости – Рис. 3.

Рисунок3.jpg

Рис. 3 – зависимые библиотеки с уязвимостями

4.       Снизился процент проектов с контейнерами, имеющими уязвимости – с 52% до 41% – Рис. 4

Рисунок4.png

Рис. 4 – снижение процента проектов с уязвимыми контейнерами

5.       И самое интересное, что среди лидеров по году выхода уязвимости находится не 2020 год, а 2019 год, также не отстает 2018 год. Это означает, что отставание по устранению уязвимостей в среднем более года! – Рис. 5.

Рисунок5.png

Рис. 5 – Год обнаружения уязвимости и процент нахождения ее в проектах

По мнению компании Forrester, платформа Gitlab является одним из десяти лучших сервисов Software Composition Analyzers (SCA) для мониторинга и определения потенциальных рисков компонент Open Source, что указано в исследовании рынка “The Forrester Wave Software Composition Analyzers 2019”. 

Эксперты группы компаний Angara рекомендуют:

  • Чаще обращаться к анализу на Gitlab Security Dashboard.

  • Проверять и регулярно обновлять существующие зависимые пакеты.

  • Применять сканирование уязвимостей и сканирование исходного кода, как статическое, так и динамическое, с подходящей ИБ-компромиссной разработчикам регулярностью.

  • Надежно хранить пароли, сертификаты и другие ключи, используемые командой разработчиков.

  • Отслеживать новостные ленты и экспертные ресурсы на техники злоумышленников и опасные уязвимости и проверять свои продукты на подверженность им.


Другие публикации

Если гендиректор – ноль в вопросах ИБ

Исследования Angara MTDR показывают, что почти половина современных кибератак (48%) переходят к фазе нанесения ущерба за срок до двух недель, в среднем атака занимает 3–4 дня. Поэтому когда генеральный директор не разбирается в вопросах информационной безопасности, это не просто управленская слабость, а системный риск для бизнеса, считает Александр Хонин, директор центра консалтинга Angara Security

актуально
рекомендации

07.11.2025

Иллюзия контроля: 3 ошибки, которые превращают ИИ и Zero Trust в угрозу для бизнеса

Даже самые передовые технологии — ИИ, Zero Trust и DevSecOps — могут обернуться угрозой, если внедрять их без стратегии и понимания рисков. Ошибки, рождённые спешкой, превращают инновации в уязвимости. Но при зрелом подходе эти инструменты становятся опорой бизнеса, а не его слабым звеном.
Об этом рассуждают эксперты Angara Security: Денис Бандалетов, руководитель отдела сетевых технологий, Виктор Дрынов, руководитель отдела безопасной разработки и Илья Поляков, руководитель отдела анализа кода.

04.11.2025

Не Cobalt Strike и не Brute Ratel: почему злоумышленники выбрали AdaptixC2 и как его обнаружить

В сентябре 2025 года исследователи из Angara MTDR обнаружили, что фреймворк AdaptixC2 стал использоваться в атаках на организации в Российской Федерации.

01.11.2025

«Evil»-бонус от банка, или как пройти опрос и потерять все деньги

Специалисты Angara MTDR выявили и исследовали новую волну кибермошенничества с установкой вредоносных приложений на телефон. В этот раз злоумышленники предлагают получить бонус от банка и предоставить доступ к своему телефону.

24.10.2025

Сетевой фейс-контроль как элемент стратегии безопасности

Средняя корпоративная сеть – это десятки точек входа, сотни устройств и постоянные удаленные подключения. В такой среде периметр становится условным, а значит, контроль доступа должен осуществляться на каждом этапе – такой подход лежит в основе стратегии сетевого фейсконтроля. Александр Черных, директор Центра разработки Angara Security, специально для журнала «Информационная безопасность» №4/2025

актуально

02.10.2025

Остались вопросы?

Получить консультацию

Понравилась статья?

Подпишитесь на уведомления о новых материалах

Подписаться