Группа исследователей безопасности выявила, что многие исправления безопасности в языке программирования Python производятся “молча”, без связанных с ними идентификаторов CVE.
Такая тенденция представляет опасность, поскольку злоумышленник может использовать нераскрытые ошибки в уязвимых системах. Если пакет Python содержит опасную уязвимость, которая не была опубликована под CVE, то разработчик приложения может не заметить её и не исправит ошибку. Киберпреступник может использовать ситуацию, эксплуатируя неопубликованные уязвимости.
Для решения проблемы исследователи представили базу данных исправлений безопасности под названием PySecDB , которая призвана повысить видимость важных изменений в коде Python для сообщества разработчиков.
PySecDB – первая в своем роде база данных, содержащая исправления безопасности для Python. В PySecDB насчитывается 1,258 исправлений безопасности и 2,791 исправлений, не связанных с безопасностью, из более чем 351 популярных проектов на GitHub, охватывающих 119 дополнительных CWE.
PySecDB также основана на ИИ-модели SCOPY, которая выявляет изменения кода, связанные с безопасностью, через последовательность и структуру семантики кода. Авторы подчеркивают, что SCOPY может идентифицировать исправления уязвимостей, которые не были официально обнародованы. Однако модель может помочь злоумышленникам найти недостатки в уязвимых системах. Поэтому SCOPY предоставляет информацию только об исправлениях безопасности, а не об уязвимостях.
PySecDB доступна для некоммерческого исследования или личного использования по запросу в лаборатории безопасности Sun в George Mason University.