7 из 10 сайтов используют уязвимые JavaScript-библиотеки

В середине ноября создатели Snyk, популярного сервиса для мониторинга уязвимостей в компонентах с открытым исходным кодом, опубликовали исследование о текущем состоянии опенсорса с точки зрения безопасности.

Поскольку с октября Snyk как компонент для тестирования безопасности подключён в Lighthouse — инструменте для аудита сайтов в Chromium-based бразерах — стали доступны данные о том, как обстоят дела в сети в целом. Цифры впечатляющие — среди 433 тысяч сайтов на 77 % подключена хотя бы одна JavaScript-библиотека с известной уязвимостью.

Неудивительно, что среди наиболее широко распространённых js-библиотек с известными уязвимостями с большим отрывом лидирует jQuery — 318 тысяч сайтов используют версию библиотеки ниже 3.0.0 (самой старой безопасной версии). Также в топ-5 присутствуют jQuery UI, Moment.js, AngularJS и Handlebars.

Пикантности добавляет тот факт, что у каждой библиотеки из топа выпущена и доступна версия без известных уязвимостей, но реальность такова, что после того, как библиотеки и фреймворки попадают в продакшен, их обновляют редко.