В результате проведенного компаниями Sonatype и Aspect Security исследования было установлено, что 50% крупнейших предприятий, которые входят в список Fortune 500, используют приложения, разработанные на уязвимых версиях фреймворков и библиотек.
Авторы исследования сообщили: «80% исходного кода современных приложений основывается на фреймворках и библиотеках. Риск существования уязвимостей в этих компонентах часто игнорируется и недооценивается».
После анализа 113 миллионов приложений, скаченных 60 тысячами коммерческими, государственными и некоммерческими организациями, было установлено, что 46% из них содержали уязвимые библиотеки и фреймворки, в частности Google Web Toolkit, Spring MVC, Struts 1.X и Hibernate. Фреймворк Struts 2, который содержал критическую уязвимость, был скачен более 18 тысяч раз.
Исследование также показало, что 37% наиболее популярных открытых компонентов содержали публично известные уязвимости. Стоит отметить, что за своевременным обновлением используемых предприятиями открытых библиотек и фреймворков следят лишь 32% компаний.
По мнению авторов исследования, причиной такого развития событий является отсутствие в открытых приложениях уведомлений для разработчиков об обнаруженной уязвимости, а также отсутствие автоматических обновлений.
Источник: SecurityLab
|
