Почти в половине Python-пакетов PyPI есть уязвимости

Путём автоматизированного статического анализа было изучено 197 тысяч пакетов. Несмотря на присущие методу ограничения, минимум одну брешь нашли в 46% из них. В общей сложности в рассмотренных пакетах насчитали более 749 тысяч уязвимостей.

Большинство — 442 тысячи — имеют низкий уровень опасности, ещё 227 тысяч — средний. Остальным 80 тысячам уязвимостей (11%) присвоена высокая опасность.

Медианное количество уязвимостей — три. В пяти из пакетов выявили более тысячи недочётов.

Наиболее распространены оказались проблемы, связанные с обработкой исключений и допускающие подстановку кода.

Исследователи отмечают, что дыры в безопасности опенсорсных пакетов ставят под угрозу ПО, для разработки которого используются.

Поддержите редакцию 1,5% налога: бесплатно и за 5 минут

Как помочь, если вы в Польше