Новости Молчание – не всегда золото: база данных PySecDB будет обнаруживать «тихие» исправления уязвимостей Python

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Неопубликованные уязвимости являются большой опасностью для приложений и кладом для хакеров.


wmivk5r1qrnn5mewyqmbal062k3divwp.jpg


Группа исследователей безопасности выявила, что многие исправления безопасности в языке программирования Python производятся «молча», без связанных с ними идентификаторов CVE.

Такая тенденция представляет опасность, поскольку злоумышленник может использовать нераскрытые ошибки в уязвимых системах. Если пакет Python содержит опасную уязвимость, которая не была опубликована под CVE, то разработчик приложения может не заметить её и не исправит ошибку. Киберпреступник может использовать ситуацию, эксплуатируя неопубликованные уязвимости.

Для решения проблемы исследователи Для просмотра ссылки Войди или Зарегистрируйся базу данных исправлений безопасности под названием Для просмотра ссылки Войди или Зарегистрируйся , которая призвана повысить видимость важных изменений в коде Python для сообщества разработчиков.

PySecDB – первая в своем роде база данных, содержащая исправления безопасности для Python. В PySecDB насчитывается 1,258 исправлений безопасности и 2,791 исправлений, не связанных с безопасностью, из более чем 351 популярных проектов на GitHub , охватывающих 119 дополнительных CWE.

PySecDB также основана на ИИ-модели SCOPY, которая выявляет изменения кода, связанные с безопасностью, через последовательность и структуру семантики кода. Авторы подчеркивают, что SCOPY может идентифицировать исправления уязвимостей, которые не были официально обнародованы. Однако модель может помочь злоумышленникам найти недостатки в уязвимых системах. Поэтому SCOPY предоставляет информацию только об исправлениях безопасности, а не об уязвимостях.

PySecDB доступна для некоммерческого исследования или личного использования Для просмотра ссылки Войди или Зарегистрируйся в лаборатории безопасности Sun в George Mason University.
 
Источник новости
www.securitylab.ru

Похожие темы