4 миллиона уязвимостей в проектах GitHub

GitHub объявил о том, что в пользовательских проектах, размещенных в публичных репозиториях этого ресурса, обнаружено более 4 миллионов уязвимостей. Процедура автоматического сканирования проектов стартовала в конце прошлого года. Сканер отслеживает известные уязвимости в библиотеках Ruby и JavaScript. На данный момент сканирование прошли более 500 тысяч репозиториев. Их владельцы получают уведомления об обнаруженных уязвимостях.

По данным администрации Github, примерно в 30% случаев уязвимости устраняются в течение 7 дней после получения уведомлений. Еще примерно в 15% случаев владельцы репозиториев – также в течение 7 дней – отвечают на уведомления, отрицая наличие уязвимостей. Таким образом, почти половина пользователей GitHub так или иначе оперативно реагирует на ситуацию. Если говорить об оставшихся 55% случаев, то подавляющее их большинство относятся к репозиториям, в которых не протяжении последних 90 дней не было зафиксировано никакой активности.