Sonatype Intelligence: программа CVE оставляет большинство уязвимостей без оценки
Согласно данным исследования Sonatype Intelligence, система Common Vulnerabilities and Exposures демонстрирует значительные пробелы в оценке уязвимостей открытого программного обеспечения. Аналитики выявили, что непоследовательность и задержки в предоставлении данных о уязвимостях приводят к 150 000 ложных отрицательных результатов, что создает серьезные риски для систем искусственного интеллекта в процессах разработки программного обеспечения.
Исследование Sonatype Intelligence охватило период с января по декабрь 2023 года и показало, что из 150 000 обнаруженных уязвимостей только 28% получили официальные идентификаторы CVE. Среднее время между обнаружением уязвимости и присвоением ей CVE-идентификатора составило 45 дней. Наиболее значительные пробелы наблюдались в экосистемах Python, JavaScript и Java, где доля неучтенных уязвимостей достигала 65%. Особую озабоченность вызывает ситуация с библиотеками машинного обучения, используемыми в AI-разработке, где задержки в идентификации уязвимостей превышают средние показатели на 30%.
Текущая ситуация создает системные риски для финансового сектора, где использование открытого программного обеспечения и AI-компонентов стало стандартом при разработке торговых платформ и систем анализа рынка. Банки и инвестиционные компании все чаще полагаются на автоматизированные системы управления уязвимостями, эффективность которых напрямую зависит от полноты данных CVE. Эксперты отмечают, что без улучшения процессов идентификации уязвимостей финансовые институты могут столкнуться с увеличением киберинцидентов, способных повлиять на стабильность рыночной инфраструктуры.
Прогноз развития ситуации зависит от скоординированных действий между National Vulnerability Database, производителями программного обеспечения и организациями финансового сектора. Аналитики ожидают, что в 2024 году регуляторы могут ужесточить требования к управлению киберрисками для финансовых организаций, что потребует инвестиций в дополнительные системы мониторинга уязвимостей. Улучшение процессов CVE-идентификации может занять от 12 до 18 месяцев, согласно оценкам участников рынка кибербезопасности.