Эксперты сервиса GitLab выпустили свою оценку ИБ-трендов с акцентом на актуальные уязвимости. Отчет включает анализ на уязвимости тысяч проектов, использующих их хостинг, и рекомендации по подходам для повышения защищенности.
Эксперты отметили следующие тренды:
1. Ощутимо вырос процент проектов, имеющих проблемы с зависимыми библиотеками: с 26% на 69% – Рис. 1.
Рис. 1 – процент проектов с уязвимыми зависимостями
2. Значительно выросла частота проявления уязвимости отсутствия валидации ввода, которая позволяет выполнить инъекции и другие вредоносные действия – Рис.2.
Рис. 2 – Актуальные на август 2020 наиболее частые уязвимости
3. Значительно выросло количество используемых пользователями библиотек, где обнаруживаются уязвимости – Рис. 3.
Рис. 3 – зависимые библиотеки с уязвимостями
4. Снизился процент проектов с контейнерами, имеющими уязвимости – с 52% до 41% – Рис. 4
Рис. 4 – снижение процента проектов с уязвимыми контейнерами
5. И самое интересное, что среди лидеров по году выхода уязвимости находится не 2020 год, а 2019 год, также не отстает 2018 год. Это означает, что отставание по устранению уязвимостей в среднем более года! – Рис. 5.
Рис. 5 – Год обнаружения уязвимости и процент нахождения ее в проектах
По мнению компании Forrester, платформа Gitlab является одним из десяти лучших сервисов Software Composition Analyzers (SCA) для мониторинга и определения потенциальных рисков компонент Open Source, что указано в исследовании рынка “The Forrester Wave Software Composition Analyzers 2019”.
Эксперты группы компаний Angara рекомендуют:
-
Чаще обращаться к анализу на Gitlab Security Dashboard.
-
Проверять и регулярно обновлять существующие зависимые пакеты.
-
Применять сканирование уязвимостей и сканирование исходного кода, как статическое, так и динамическое, с подходящей ИБ-компромиссной разработчикам регулярностью.
-
Надежно хранить пароли, сертификаты и другие ключи, используемые командой разработчиков.
-
Отслеживать новостные ленты и экспертные ресурсы на техники злоумышленников и опасные уязвимости и проверять свои продукты на подверженность им.