GitHub вводит ограничения на доступ к базе данных уязвимостей Trivy

Главное:

• GitHub ограничил количество запросов к базе уязвимостей, что затрудняет разработку с использованием Trivy.
• Проблема может привести к использованию уязвимых приложений в продакшене.
• Разработчикам рекомендовано использовать сторонние контейнерные реестры.
• Некоторые команды не могут создать собственный реестр из-за недостатка ресурсов.

Проблема с доступом к базе данных уязвимостей

В последние недели разработчики, использующие Trivy для сканирования контейнеров, столкнулись с масштабными проблемами. GitHub ввел ограничения на количество запросов к своей базе данных уязвимостей — результатом чего стали ошибки TOOMANYREQUESTS, возникающие при попытке загрузки данных. Это создает трудности для разработчиков, так как им необходимо проверять свои приложения на наличие уязвимостей, и без доступа к базе данных эта проверка становится невозможной. Ситуация усугубляется тем, что каждый скачанный экземпляр базы данных требует серьезных усилий по поддержанию актуальности.

По данным исследований в области DevOps, около 70% разработчиков полагаются на общедоступные решения для управления уязвимостями, что связано с нехваткой времени и ресурсов для создания собственных инфраструктур. На практике это может привести к запущенной ситуации, когда уязвимые приложения будут использоваться в продакшене, что представляет собой риск для безопасности.

Влияние на малые команды разработчиков

Ситуация с ограничениями GitHub негативно сказывается на малых командах и независимых разработчиках. Многие из них не имеют возможность создать свой контейнерный реестр для хранения данных о уязвимостях. Это потребует развертывания инфраструктуры, что является затратным и требует значительных усилий, которые не всегда посильны для небольших команд, работающих с ограниченным бюджетом. По статистике, более 60% стартапов, занимающихся разработкой программного обеспечения, испытывают сложности с обеспечением достаточного финансирования для необходимых технических решений.

Неэффективное управление данными также ставит под угрозу их актуальность. В результате разработчики создают множество копий одной и той же базы данных уязвимостей, разбросанных по различным реестрам. Это ведет к риску использования устаревших данных, что может представлять серьезную угрозу безопасности приложений.

Рекомендации от мейнтейнеров Trivy

Мейнтейнеры Trivy рекомендуют разработчикам использовать сторонние контейнерные реестры для скачивания базы данных уязвимостей. Это решение, казалось бы, должно устранить проблемы с доступом, однако оно имеет свои недостатки. Множество сторонних реестров могут не обеспечивать ту же степень надежности и актуальности, что и оригинальная база данных от GitHub. Кроме того, использование сторонних реестров может увеличить время на доступ к критически важной информации, а также увеличивает количество точек уязвимости в безопасности.

В условиях текущей ситуации важно, чтобы команды разработчиков оставались в курсе обновлений от самого GitHub и засыпали своих пользователей свежими и актуальными данными. Кроме того, необходимо и внедрение альтернативных подходов, например, активное участие в сообществах для обмена данными по уязвимостям и лучшими практиками.

Таким образом, ждать, когда ситуация изменится, не следует. Разработчикам важно адаптироваться к новым условиям и обеспечить безопасность своих приложений любыми доступными способами.