Почти в половине Python-пакетов PyPI есть уязвимости

Около половины пакетов в официальном репозитории Python Package Index (PyPI) содержат уязвимости безопасности. К таким результатам недавно пришли финские исследователи.

1 комментарий

Путём автоматизированного статического анализа было изучено 197 тысяч пакетов. Несмотря на присущие методу ограничения, минимум одну брешь нашли в 46% из них. В общей сложности в рассмотренных пакетах насчитали более 749 тысяч уязвимостей.

Большинство — 442 тысячи — имеют низкий уровень опасности, ещё 227 тысяч — средний. Остальным 80 тысячам уязвимостей (11%) присвоена высокая опасность.

Медианное количество уязвимостей — три. В пяти из пакетов выявили более тысячи недочётов.

Наиболее распространены оказались проблемы, связанные с обработкой исключений и допускающие подстановку кода.

Исследователи отмечают, что дыры в безопасности опенсорсных пакетов ставят под угрозу ПО, для разработки которого используются.


Читать на dev.by