Исследовательская компания Veracode представила данные своего отчета State of Software Secuity v11: Open Source Edition. Он посвящен угрозам безопасности, которые несет ПО с открытым исходным кодом, активно внедряемое в большинство современных приложений. В ходе подготовки отчета исследователи провели 13 миллионов сканирований 86 тысяч репозиториев ПО, изучили 301 тысячу уникальных библиотек и опросили порядка 2 тысяч разработчиков.

Полученные результаты выглядят тревожными. Почти все репозитории ПО включали библиотеки с открытым исходным кодом, содержавшие хотя бы одну уязвимость. А 80% библиотек внедрялись разработчиками в приложения без всяких попыток обновить их до актуальных (и безопасных) версий. При этом обновление библиотек, не требующее ни долгого времени, ни каких-либо затрат, помогло бы устранить 92% всех имеющихся уязвимостей. Этот подход можно назвать «установить и забыть», саркастически отмечает руководитель исследования Veracode Крис Энг - и подчеркивает, что в нынешней ситуации такому отношению к вопросам безопасности не может быть никаких оправданий. Достаточно вспомнить историю со взломом бюро кредитных историй Equifax в 2017 году, когда хакеры смогли похитить персональные данные более чем 145 миллионов человек. Успех атаки принесла именно уязвимость, содержавшаяся в одной из библиотек с открытым исходным кодом, которую не потрудились обновить. Утечка обошлась Equifax в 1,4 миллиарда долларов.