Hlavní navigace

Java trpí nejčastěji kvůli zranitelnostem od třetích stran

22. 4. 2024

Sdílet

 Autor: Fotolia @ profit_image
Devět z deseti služeb vytvořených v Javě je náchylných ke zranitelnostem v knihovnách třetích stran, uvádí zpráva „State of DevSecOps 2024“, kterou uveřejnila firma Datadog, což je poskytovatel cloudového zabezpečení.

Podle zmíněné studie je 90 % zmíněných služeb náchylných k jedné nebo více kritickým nebo vysoce závažným zranitelnostem, které do nich vnesly knihovny třetí strany. Průměr pro ostatní jazyky byl poloviční (47 %).

Berete vážně bezpečnostní rizika knihoven třetích stran?

Datadog analyzoval desítky tisíc aplikací a kontejnerových bitových kopií a tisíce cloudových prostředí za účelem posouzení bezpečnosti aplikací. 

Za Javou v hodnocení zranitelností následovaly JavaScript se zhruba 70 %, Python s 62 %, .NET s 50 %, PHP s 35 % a konečně Go a Ruby, oba s přibližně 32 % rizikových služeb.

Co přináší nový SecurityWorld 1/2024? Přečtěte si také:

Co přináší nový SecurityWorld 1/2024?

Javovské služby byly také nejčastěji zranitelné pomocí už existujících exploitů se zdokumentovaným použitím. 

Ze seznamu zranitelností vedeného agenturou CISA (Cybersecurity and Infrastructure Security Agency) vyplývá, že bylo postižených až 55 % služeb vytvořených v Javě, na rozdíl od 7 % řešení vytvořených v jiných jazycích.

Cloud24

Kromě toho Datadog zjistil například i to, že 63 % organizací nadále spoléhá na autentizační data, která se v čase nemění, ve vývojových potrubích CI/CD.

Je to přitom jedna z nejčastějších příčin úniků dat. Výzkumníci navíc tvrdí, že zmíněné firmy tak činí i přes to, že by jednorázové autentizační údaje nebo ty, jejichž životnost je krátká, by pro ně byla praktičtější a bezpečnější.

 

Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí.  Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.

Byl pro vás článek přínosný?