СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
30.06.2024
#Dev#ИБ

CISA: большинство критических проектов с открытым исходным кодом содержат код, небезопасный для памяти

CISA: большинство критических проектов с открытым исходным кодом содержат код, небезопасный для памяти

Согласно новому анализу, проведённому Агентством по кибербезопасности и защите инфраструктуры США (CISA) в сотрудничестве с партнёрами из правительственных учреждений Австралии и Канады, более 52% критически важных проектов с открытым исходным кодом содержат код, написанный на языке, небезопасном для памяти. В отчёте «Изучение безопасности памяти в критических проектах с открытым исходным кодом» исследуются масштабы риска безопасности памяти в программном обеспечении с открытым исходным кодом.

В ходе исследования был проанализирован список из 172 проектов, взятых из списка критических проектов рабочей группы по обеспечению безопасности критически важных проектов Open Source Security Foundation (OpenSSF).

В отчёте сделан вывод о том, что большинство критических проектов с открытым исходным кодом потенциально содержат уязвимости безопасности памяти. Это является результатом прямого использования языков, небезопасных для памяти, или внешней зависимости от проектов, которые используют языки, небезопасные для памяти. Агентства отметили, что 55% от общего числа строк кода (LoC) для всех проектов были написаны на языке, небезопасном для памяти.

Эти проекты: ядра и драйверы операционных систем, криптография и сетевые технологии. В каждом из 10 крупнейших проектов по общему объёму кода доля небезопасных для памяти кодов превышала 26%. В четырёх из 10 крупнейших проектов уровень небезопасности памяти превысил 94%.

Также отмечается, что в отчёте Управления национального кибер-директора (ONCD) приводятся исследования, показывающие, что до 70% распространённых уязвимостей и уязвимостей (CVE) связаны с проблемами безопасности памяти, такими как переполнение буфера, которые можно устранить, приняв языки программирования, безопасные для памяти, такие как Rust.

Аналитики указывают и на то, что в настоящее время большая часть кода написана на небезопасных для памяти языках, таких как C и C++. Это означает, что такой код требует значительных затрат на установку исправлений и реагирование на инциденты для производителей программного обеспечения и потребителей.

Полная версия отчёта представлена по ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: