Каждое приложение, использующее заимствованные (Open Source) компоненты, содержит два вида зависимостей. Директивные зависимости находятся на поверхности и относительно легко определяются – это компоненты напрямую использующиеся в разработке. Транзитивные зависимости – это зависимости более глубокого уровня, которые приносятся другими компонентами. Их значительно больше, их тяжелее отследить и сложнее обрабатывать ошибки безопасности, которые с ними возникают.
По статистике, уязвимости, попадающие в приложения через транзитивные зависимости, составляют 85% из общего числа проблем, привнесенных из Open Source. Кто-то закрывает глаза на эти проблемы из-за сложности триажа, а кто-то не понимает, как к ним подступиться из-за трудоемкости исправлений.
По статистике, уязвимости, попадающие в приложения через транзитивные зависимости, составляют 85% из общего числа проблем, привнесенных из Open Source. Кто-то закрывает глаза на эти проблемы из-за сложности триажа, а кто-то не понимает, как к ним подступиться из-за трудоемкости исправлений.
В выступлении представлена собственная аналитика по работе с уязвимостями в транзитивных зависимостях. При помощи анализа Мегаграфа связей open-source пакетов оценивается степень влияния известных уязвимостей на экосистемы разработки и определяется скорость реакции сообщества на выявленные проблемы.
Доклад раскрывает полезные сценарии ручного и автоматического триажа на практических кейсах, которые позволят сэкономить время разработчиков и специалистов AppSec.
Следить за анонсами мероприятий с участием команды CodeScoring можно в нашем Telegram-канале.
Доклад раскрывает полезные сценарии ручного и автоматического триажа на практических кейсах, которые позволят сэкономить время разработчиков и специалистов AppSec.
Следить за анонсами мероприятий с участием команды CodeScoring можно в нашем Telegram-канале.
