ΑρχικήSecurityΠάνω από το 75% των ευπαθειών βρίσκονται σε δευτερεύοντα components

Πάνω από το 75% των ευπαθειών βρίσκονται σε δευτερεύοντα components

Η συντριπτική πλειονότητα των τρωτών σημείων ασφαλείας σε έργα ανοιχτού κώδικα βρίσκονται σε δευτερεύοντα components παρά στα κύρια.

“Συγκεντρώνοντας τους αριθμούς από όλα τα οικοσυστήματα, βρήκαμε περισσότερες από τρεις φορές περισσότερες ευπάθειες σε δευτερεύοντα components από ό, τι κάναμε στα πρωτεύοντα”, δήλωσε η Alyssa Mille που εργάζεται στην Snyk, σε συνέντευξή της, συζητώντας την κατάσταση της ασφάλειας της εταιρείας.

Η αναφορά εξέτασε πώς τα τρωτά σημεία επηρέασαν τα JavaScript (npm), Ruby (RubyGems), Java (MavenCentral), PHP (Packagist) και Python (PyPI) οικοσυστήματα.

Η Snyk ανέφερε ότι το 86% των σφαλμάτων ασφαλείας JavaScript, το 81% των σφαλμάτων Ruby και το 74% των Java επηρέασε τις βιβλιοθήκες που εξαρτιόντουσαν από τα κύρια components που φορτώθηκαν μέσα σε ένα project.

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 11 Οκτωβρίου 2024, 18:38 18:38

Η Snyk υποστηρίζει ότι οι εταιρείες που σαρώνουν τα βασικά τους components για ζητήματα ασφαλείας χωρίς να διερευνούν και τα υπόλοιπα components θα καταλήγουν να τρέχουν προϊόντα που είναι ευάλωτα σε απρόβλεπτα σφάλματα.

Όμως, ενώ τα σφάλματα ασφαλείας ήταν διαδεδομένα σε JavaScript, Ruby και Java, δεν ήταν στην PHP και στην Python, όπου η συντριπτική πλειονότητα των σφαλμάτων ήταν στα άμεσα dependencies (πρωτεύοντα components). Ωστόσο, υπάρχει ένας λόγος για αυτό.

“Πιστεύω ειλικρινά ότι πρόκειται περισσότερο για την αναπτυξιακή προσέγγιση των ίδιων των οικοσυστημάτων”, δήλωσε η Miller στο ZDNet.

“Τα έργα Java και Node.js, ειδικότερα, φαίνεται να αξιοποιούν τα dependencies “πολύ βαρύτερα” από άλλα οικοσυστήματα. Ειδικότερα, όταν εξετάζετε το τεράστιο μέγεθος του οικοσυστήματος Node.js, τα πακέτα που δημιουργούν ή αξιοποιούν βασικές λειτουργίες από άλλα πακέτα είναι σχεδόν ο κανόνας.

 «Αυτός ο « ξένος κίνδυνος », όπως θέλουμε να το ονομάζουμε, βρίσκεται στην καρδιά ορισμένων παραβιάσεων υψηλού προφίλ και βασικής αιτίας πολυπλοκότητας όσον αφορά την ασφάλεια της αλυσίδας εφοδιασμού λογισμικού», δήλωσε η Miller.

components

Μερικά bugs είχαν μεγάλο αντίκτυπο

Αλλά η ομάδα της Snyk δεν εξέτασε απλώς τη θέση αυτών των σφαλμάτων στο οικοσύστημα ανοιχτού κώδικα, αλλά και τι είδους σφάλματα ήταν.

Ένα άλλο ενδιαφέρον εύρημα είναι ότι τα περισσότερα από τα νέα ελαττώματα ασφαλείας που ανακαλύφθηκαν το 2019 ήταν σφάλματα εντοπισμού scripting (XSS), αλλά παρά τον μεγάλο αριθμό τους, αυτά επηρέασαν μόνο ένα μικρό μέρος project πραγματικού κόσμου.

Αντ ‘αυτού, δύο δωδεκάδες σφάλματα «prototype pollution» είχαν το μεγαλύτερο αντίκτυπο από όλα τα σφάλματα που ανακαλύφθηκαν πέρυσι, επηρεάζοντας περισσότερα από 115.000 διαφορετικά έργα ανοιχτού κώδικα, και πιθανώς ακόμη περισσότερα ιδιωτικά.

Από αυτά, τα σφάλματα ««prototype pollution» στο jQuery και το LoDash είχαν το μεγαλύτερο αντίκτυπο, καθώς αυτά τα πλαίσια είναι μερικά από τα πιο ευρέως χρησιμοποιούμενα εργαλεία ανάπτυξης JavaScript σήμερα.

Ωστόσο, η ομάδα της Snyk επισήμανε και κάτι άλλο στην έκθεσή της – ότι τα «κακόβουλα πακέτα» κατατάχθηκαν ως το δεύτερο πιο συνηθισμένο είδος ζητήματος ασφαλείας που βρήκαν σε project πέρυσι.

Σύμφωνα με την Snyk, πέρυσι, παραβιασμένα ή κακόβουλα πακέτα ήταν η δεύτερη πιο κοινή πηγή ζητημάτων ασφάλειας για οικοσυστήματα ανοιχτού κώδικα.

“Η συντριπτική πλειοψηφία, άνω του 87%, προέρχονταν από πακέτα npm [JavaScript]”, δήλωσε η Miller στο ZDNet.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS