Особенный айтишник LIVE👨‍💻🇷🇺🕊🌏
@mentalcoder_live
54 subscribers
5.02K photos
466 videos
24 files
6.63K links
Технарь, программист, спортсмен, мобильный фотограф и просто любитель природы... Без негатива, политики и грязи! Только позитив, хобби, деловые сферы, экономика, финансы и технологии! 🤗

https://zolotaryow.my1.ru/
https://tttttt.me/likesturbot?start=_tgr_C_XH
Download Telegram
About
Blog
Apps
Platform
Join
Особенный айтишник LIVE👨‍💻🇷🇺🕊🌏
54 subscribers
Особенный айтишник LIVE👨‍💻🇷🇺🕊🌏
Forwarded from Порвали два трояна
🎃 CISA: больше половины open source проектов написаны на «опасных» языках

Американские ИБ-агентства уже некоторое время озабочены общим уровнем уязвимости ПО и регулярно дают рекомендации разработчикам, в том числе буквально умоляют перейти на языки программирования, безопасно управляющие памятью. Этот подход действительно помогает производить приложения, не содержащие целых классов опасных уязвимостей (переполнение буфера, UaF), но переписать весь код на «безопасных» языках очень долго и трудоёмко. В эту сторону идут Microsoft и Google, но постепенно. Среди компаний и групп поменьше о массовом переходе пока говорить рано.

Новое исследование CISA посвящено анализу крупных и важных проектов с открытым исходным кодом, из которого очевидно, что 52% проектов содержит фрагменты на «опасных» языках, а если взять пропорцию по строкам написанного кода, то «опасными» являются 55%. При этом даже проекты, целиком написанные на языках, безопасно управляющих памятью, используют «опасные» библиотеки.

В целом всё это, конечно, констатирует, что вода мокрая, а проекты с двадцатилетней историей, такие как ядро Linux, вряд ли быстро перейдут на безопасные языки. Но для практической оценки потенциальной уязвимости проекта интересно углубиться в приложение к отчёту. Там для каждого из пары сотен крупнейших open source-проектов указаны общий объём его кодовой базы и процент, написанный на «безопасных» языках. Так можно узнать, что в Linux на «опасных» языках написано 95% кода, поэтому всякого рода LPE и RCE будут появляться ещё очень и очень долго, а в Kubernetes содержится всего 9 тысяч строчек на «опасных» языках, это 0% в их кодовой базе. Правда, даже для позитивно выглядящих проектов нужно смотреть глубже, потому что в Wordpress, например, 0 строчек на «опасных» языках, но дьявол кроется в плагинах, а Signal Desktop тоже блистает нулём, но вот фреймворк Electron, нужный ему для работы, «небезопасен» примерно наполовину, как и Chromium.

Подход к анализу, предложенный CISA, не претендует на всеобъемлющий результат, но может быть полезен при первичной оценке безопасности проектов, наряду с изучением истории прыдыдущих уязвимостей и их устранения. Меньше поверхность атаки — меньше придётся бегать с патчингом.

#статистика #уязвимости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
3 viewsСергей Золотарев