Уязвимых программных продуктов с открытым исходным кодом стало больше

Число обнаруженных уязвимостей в программных продуктах с открытым исходным кодом (Open Source) выросло на 50% за год и достигло 6000. Такие данные получили специалисты компании WhiteSource Software, 14 марта сообщает интернет-издание CNews.

Сотрудники компании WhiteSource Software, разрабатывающей систему управления лицензиями, в 2019 году выявили около 6000 уязвимостей в таком ПО. В 2018 число обнаруженных уязвимостей составляло 4000.

По мнению сотрудников компании, число найденных уязвимостей зависит от популярности используемых средств разработки. Больше всего уязвимостей в ПО, написанном на языке C, далее по убыванию следуют PHP, Java, JavaScript, C++.

Специалисты из WhiteSource Software связывают рост уязвимостей с активным развитием Open Source сообщества. В общем случае речь не идет об ухудшении качества такого ПО.

Каждый класс уязвимостей имеет приставку CWE и номер. CWE (Common Weakness Enumeration) — словарь уязвимостей.

Наиболее распространенными уязвимостями являются CWE-79 — межсайтовое выполнение сценариев, CWE-20 — некорректная проверка ввода данных, CWE-119 — выполнение операций за пределами буфера памяти, CWE-200 — раскрытие информации, CWE-125 — чтение за пределами буфера.

Точных данных о количестве ПО, с открытым исходным кодом или содержащем компоненты с открытым исходным кодом, на 2019 год нет. В 2013 году число программных проектов, которые содержали открытый исходный код, приближалось к 70%. С тех пор этот процент вряд ли уменьшился.