Müasir proqram sistemlərində gizli asılılıqlar gizli risklər meydana gətirir, hesabat deyirFunksiya səviyyəli təhlükəsizlik təmir vəzifələrini 90% azaldırırMütəxəssislər, təşkilatların üçüncü tərəf komponentlərə və açıq mənbə kitabxanalarına ehtiyac duymağını və bu asılılıqlarla əlaqəli təhlükələrin həll edilməsini mühüm bir prioritet kimi qeyd etdilər. Endor Labs’ın 2024 Hazırda olma Şərtləri Hesabatı proqram asılılıqlarını idarə etmə və təhlükələri araşdırmağın dəyişən çətinliklərini müzakirə edir və c səviyyəli təhlükələrin analizi (Java, Python, Rust, Go, C#, .NET, Kotlin və Scala) 2024-cü ildə “gerçək təhlükə” kimi qiymətləndirilən hər birinə 9.5%’dən az təhlükələrin olduğunu tapdı.”Bir çox təşkilat, asılılıq risklərini idarə etməkdə çətinlik çəkdi,” – Endor Labs’ın əməkdaşı araşdırma mühəndisi Darren Meyer dedi. “Onlar təhlükəsizlik komandaları (və proqram komandaları) üçün təhlükəsi olan xəbərdarlıqlarda boğulurlar, araşdırma xərdətli olur, işarələriçi xərdətli olur və hər şeyi düzəltməyə çalışmaq daha da bahadır.”Asılılığı idarə etməkAsılılığı idarə etmək sadə bir tapşırıq deyil, əks təqdirdə çoxlu asılılıq növlərindən istifadə edən çoxlu proqram layihəsi, ilk tərəfli kod kitabxanaları, çətinləşdirmələr və cərəyan etmək imkanlarını dəstəkləyən operativ asılılıqlar kimi ki, istehsal mühitlərini dəstəkləyən operativ asılılıqlar kimi ki, ciddi təhlükəsinil təhlükəsinil təhlükəsizlik risklərinə məruz qaldırmaqdan istifadə edir.Təşkilatların, öz təminat şəbəkələrini qurmaq üçün üçüncü tərəf komponentlərindən, xüsusən də açıq mənbəli proqramlardan istifadə etmələri müasir proqram inkişafında ümumilikdə rast gəldiyi üçün şirkətlərin vakitini yükləyici kod nəticələrinin yazılmasına sərf etməkdən azaldan vaxt tələb edir, hazır funksiyalardan təkliflər də edir ki, bu da inkişaf dövrlərini sürətləndirir – lakin buna baxmayaraq yalnız bu xarici komponentlərdəki təhlükəli çətinliklərə gətirib çıxarır.Qarışıq asılılıqlardan asılı təhlükələr, proqramın kodunda açıq-aydın şəkildə sənədləndirilməyen gizli komponentlər, həm də gelenəklik alətləri tərəfindən saxlanılan vəziyyətləri aşmagın mümkün olmadığı çaşınır oldu.Müşahidə iddia edir ki, zirezitlər, yəni proqramın koduna dair sənədlərin əks etdirilmədiyi çoxlu təhlükəli xəbərlər, təxminən 70%-i, özünün paketi buraxıldıqdan sonra nümunəvi bir gecikmə miqdari ilə buraxılmış, median gecikmə ilə buraxılır. 25 günEndor həmçinin iddia edir ki, ictimai təhlükəsizlik bazalarından gələn zirexətlərin təxminən yarısı kod səviyyəli təfərrüatları əks etdirmir, bir neçə yalnız 2%-i funksiya xüsusi təhlükəsi məlumatları təmin edir ki, təhlükəli yarımmıqlardan irad olunur. Əsasən, Endorun 1,250 yüksəkliklərdən məlim versiyalardan ithaf olunan yeniləmələri 24% -ni böyük versiya yeniləməsi tələb edir ki, 6% təhlükesizliklər minor və ya yama səviyyəli yeniləmələrlə düzəldilə bilər.Endor bu səbəblər şərtlərlə qeyd edir ki, bütün təhlükələr eyni risk səviyyəsini göstərmir, təşkilatların əlçatan və istifadə edilə bilən təhlükələrə fokuslanmaları tövsiyə olunur.Bir asılılıqda istifadə olunan zərərsiz təhlükəli bir funksiyaya əsaslanan numpy analizi, təhlükə xəbərlərinin “səs gürültüsünü” azaltmanın ən effektiv metodlarından biri kimi ortaya çıxır. Təşkilatlar, eploitation edilə bilən yollarvasıyla təhlükəli funksiyonlara müraciət edir, hesabatın göstərdiyinə görə nəzillərə mane olmaq üçün çalışarlar almost 90% qədər təhlükəsi ortadan qaldırmaq mümkündür. Verilmiş olan mənbə xəbərləriYetkinlik səviyyəsindəki bir çox açıq mənbə kodu təhlükələrin ətrafındakı qorunmasızlıqlara baxışAsılsızlaşdırılmış təhlükəsizliklə mübarizəyə dair məsləhət baxınBir çox açıq mənbə kodlu proqramlarda narahat edici təhlükələr mövcuddur