AppSec Solutions об уязвимостях библиотек с открытым кодом

Компания AppSec Solutions сообщила, что ее эксперты с помощью инструмента AppSec.Track провели анализ компонентов open source, которые использовали российские разработчики в 2024 г. Были проанализированы библиотеки с открытым кодом, написанные на разных языках программирования.

Как выяснилось, самой уязвимой оказалась экосистема PyPI (язык Python). Каждая вторая из популярных библиотек (51% по наблюдениям экспертов) содержала уязвимость в какой-либо из своих версий. Уязвимости, обнаруженные в исследовании, позволяют злоумышленникам осуществлять перехват данных при выполнении HTTP-запросов, ослабить криптографическую защиту и выполнять произвольный код.

В языке Java, для сравнения, известных open source компонентов в 25 раз больше, чем в Python, но самые популярные пакеты оказались менее уязвимы – только в 22% случаев. Например, уязвимости в Spring Framework позволяют злоумышленникам обходить аутентификацию, выполнять SQL-инъекции или получать доступ к конфиденциальной информации. Уязвимость Log4Shell остается одной из самых значимых угроз для приложений, так как позволяет злоумышленнику отправить специальным образом сформированный запрос, который приведет к выполнению вредоносного кода на стороне приложения.

Как отмечают в AppSec Solutions, результаты исследования показывают, что даже самые популярные компоненты open source могут содержать критические уязвимости. Это подчеркивает важность регулярного обновления библиотек, проведения аудита безопасности и использования инструментов для управления зависимостями. Для защиты, поясняют в компании, разработчики могут использовать инструменты, предотвращающие атаки на цепочку поставок ПО.