Компания, которая предоставляет хостинг-услуги Знатоку Центральное Хранилище, заявляет, что один в шестнадцати загрузках для Явского компонента, который содержит известный недостаток безопасности.

Сонэтайп утверждает, что разработчики обычно загружают 31 миллиард Явских компонентов в год с более чем 1 000 новых компонентов и более чем 10 000 новых составляющих версий, создаваемых ежедневно.

Компании в наше время используют управляемые центральные составляющие хранилища для хранения их кодекса. В то время как некоторое использование частные проекты, больше использования открыто поставленный кодекс, который в некоторых случаях они загружают и импортируют в их проектах без надлежащих аудитов безопасности.

Sonatype оценивает, что между 80 и 90 процентов сегодняшнего кодекса предприятия на самом деле составлен из общедоступных компонентов, импортированных из общественных хранилищ.

Поскольку слабые места безопасности общественные, и потому что у Sonatype есть доступ к статистике сервера, это, больше, чем кто-либо еще, имея возможность предупреждать разработчиков об опасностях использовать опасные или устаревшие компоненты в их кодексе.

Это предупреждение вдвое более важно для компаний, с тех пор если нападавший ставит под угрозу приложение, созданное с уязвимыми компонентами, результаты могут оказать глубокое влияние на экономику.

Более старые компоненты имеют 3x более высокий уровень слабых мест

После исследования 3 000 организаций и более чем 25 000 корпоративных приложений от нескольких отраслей промышленности, Сонэтайп сообщает нам, что компания загружает приблизительно 5 000 уникальных компонентов каждый год.

Чем более старый компоненты, тем выше шанс содержать уязвимость безопасности. Еще хуже, 97 процентов всех загруженных компонентов не могут быть легко прослежены или ревизованы.

Если бы компания хотела зафиксировать 10 процентов ошибок безопасности в 2 000 заявлений, этому был бы нужен бюджет в размере $7,42 миллионов.

Эти проблемы вводят потребность управлять системой поставок программного обеспечения, чтобы избежать будущих слабых мест. Время, потерянное во время аудитов безопасности для компонентов прежде чем быть добавленным к проекту, может быть получено позже, имея дело с ошибками безопасности.

Удаление уязвимых компонентов из таких централизованно управляемых кодовых хранилищ должно также стать высшим приоритетом для сообществ позади этих проектов.

Государство Отчета о Системе поставок программного обеспечения содержит больше информации о государстве сегодняшней системы поставок программного обеспечения.

В то время как общедоступный кодекс распространяется, также - компоненты с недостатками безопасности Sonatype сообщают о результатах