{"id":18056,"date":"2024-04-25T11:29:50","date_gmt":"2024-04-25T09:29:50","guid":{"rendered":"https:\/\/vived.io\/?p=18056"},"modified":"2024-04-26T13:48:53","modified_gmt":"2024-04-26T11:48:53","slug":"90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172","status":"publish","type":"post","link":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/","title":{"rendered":"„90% of Java services have critical or severe security vulnerabilities”… czyli o tym, jak trudno m\u00f3wi si\u0119 o bezpiecze\u0144stwie \u2013 JVM Weekly vol. 172"},"content":{"rendered":"
\n
\"\"<\/figure><\/div>\n\n\n

Tym razem b\u0119dzie nieco filozoficznie. Jak pewnie domy\u015blacie si\u0119, wybieraj\u0105c tematy do ka\u017cdej kolejnej edycji przebijam si\u0119 przez mas\u0119 nag\u0142\u00f3wk\u00f3w i temat\u00f3w, aby wybra\u0107 realnie to co z mojej perspektywy najciekawsze. Dlatego te\u017c kiedy zobaczy\u0142em, \u017ce w raporcie The State of DevSecOps<\/a> DataDoga (kt\u00f3rego osobi\u015bcie wyj\u0105tkowo szanuje) sporo miejsca po\u015bwi\u0119cono Javie, stwierdzi\u0142em \u017ce musz\u0119 si\u0119 z tym wpisem lepiej zapozna\u0107 – bezpiecze\u0144stwo wa\u017cna rzecz, w zwi\u0105zku z tym zobaczmy, co oni tam ciekawego wygrzebali. I co mnie przywita\u0142o?<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

I w tym momencie stwierdzi\u0142em, \u017ce ja ju\u017c \u015bwiata nie rozumiem. Albo mamy totaln\u0105 apokalips\u0119 je\u015bli chodzi o software i software supply chain, albo z tymi liczbami jest co\u015b nie tak. Poniewa\u017c wiecie – skoro 90% serwis\u00f3w Javowych posiada POWA\u017bNE luki security, to bior\u0105c pod uwag\u0119, \u017ce w dzisiejszych czasach byle dzieciak z ChatGPT podobno mo\u017ce zosta\u0107 hakerem, to w tej wi\u0119kszo\u015bci biznes\u00f3w to ju\u017c powinno nie by\u0107, prawda? Dlatego te\u017c stwierdzi\u0142em, \u017ce wykorzystam t\u0105 sytuacj\u0119 aby troch\u0119 wyja\u015bni\u0107 sytuacj\u0119, bo \u015bwietnie wpisuje w szersz\u0105 dyskusj\u0119 na temat raportowania zagro\u017ce\u0144.<\/p>\n\n\n\n

No dobra, ale co tak naprawd\u0119 m\u00f3wi nam The State of DevSecOps<\/a>? Raport, oparty o dane telemetryczne zbierane masowo przez DataDog, podsumowuje (mi\u0119dzy innymi) ilo\u015b\u0107 aplikacji posiadaj\u0105cych gro\u017ane podatno\u015bci, w oparciu Katalogu Znanych Wykorzystywanych Podatno\u015bci (KEV) prowadzonym przez Ameryka\u0144sk\u0105 Agencj\u0119 Cyberbezpiecze\u0144stwa i Bezpiecze\u0144stwa Infrastruktury (CISA). Katalog ten, b\u0119d\u0105cy aktualizowanym na bie\u017c\u0105co zbiorem, zawiera informacje o podatno\u015bciach aktywnie wykorzystywanych przez cyberprzest\u0119pc\u00f3w do kompromitowania system\u00f3w. Analiza danych z tego katalogu pokazuje, \u017ce us\u0142ugi Java s\u0105 nadreprezentowane w stosunku do innych j\u0119zyk\u00f3w programowania, z 55% us\u0142ug Java dotkni\u0119tych problemem (szczerze to nie wiem sk\u0105d wzi\u0119\u0142a si\u0119 liczba 90% na wykresie – wgryzaj\u0105c si\u0119 w metodologie, to pewnie wyniki ze wspomnianego w metodologi Software Composition Analysis, funkcjonalno\u015bci Datadog Application Security Management), w por\u00f3wnaniu do tylko 7% us\u0142ug zbudowanych przy u\u017cyciu innych technologii.<\/p>\n\n\n\n

The State of DevSecOps<\/a> pochyla si\u0119 te\u017c nad przyczyn\u0105, podatno\u015bciami w javowych cz\u0119sto wynika z tzw. po\u015brednich zale\u017cno\u015bci, czyli bibliotek third-party, dystrybuowanymi z u\u017cywanymi przez nas zale\u017cno\u015bciami, cho\u0107 nie s\u0105 bezpo\u015brednio dodawane przez programist\u00f3w – jest to tak zwany Software Supply Chain, o kt\u00f3rym si\u0119 tyle m\u00f3wi ostatnimi laty. Te po\u015brednie zale\u017cno\u015bci stanowi\u0105 wi\u0119kszo\u015b\u0107 podatno\u015bci zale\u017cno\u015bci third-party, co znacz\u0105co utrudnia identyfikacj\u0119 i zarz\u0105dzanie potencjalnymi ryzykami bezpiecze\u0144stwa. Java pod tym k\u0105tem prezentuje si\u0119 gorzej od w zasadzie ka\u017cdego innego por\u00f3wnywanego ekosystemu. Chocia\u017c jak si\u0119 wczyta\u0107 w metodologie raportu, to jest w tym ma\u0142y kruczek…<\/p>\n\n\n

\n
\"\"
Wszystkie aplikacje s\u0105 chore, te Javowe zosta\u0142y po prostu lepiej przebadane.<\/figcaption><\/figure><\/div>\n\n\n

Artyku\u0142 podkre\u015bla te\u017c konieczno\u015b\u0107 analizy pe\u0142nego drzewa zale\u017cno\u015bci (dobra rada, warto wiedzie\u0107 co ma si\u0119 w bebechach), zar\u00f3wno bezpo\u015brednich, jak i po\u015brednich, podczas skanowania aplikacji pod k\u0105tem podatno\u015bci. Prezentuje te\u017c narz\u0119dzia takie jak Scorecard od OpenSSF, oceniaj\u0105ce stan zdrowia bibliotek open source. Mamy wi\u0119c ca\u0142kiem poka\u017any zbi\u00f3r informacji.<\/p>\n\n\n\n

I to s\u0105 wszystko dobre rady, ale…<\/p>\n\n\n

\n
\"\"<\/figure><\/div>\n\n\n

Wspomniany KEV opiera si\u0119 o CVSS jest standardem bran\u017cowym, kt\u00f3ry dostarcza otwart\u0105 i ujednolicon\u0105 metod\u0119 oceny ci\u0119\u017caru podatno\u015bci bezpiecze\u0144stwa IT. System punktacji CVSS przypisuje liczbow\u0105 warto\u015b\u0107 ci\u0119\u017caru podatno\u015bci (od 0 do 10), bazuj\u0105c na r\u00f3\u017cnych metrykach, takich jak z\u0142o\u017cono\u015b\u0107 wykorzystania, wp\u0142yw na poufno\u015b\u0107, integralno\u015b\u0107 i dost\u0119pno\u015b\u0107 systemu oraz inne czynniki.<\/p>\n\n\n\n

Ca\u0142o\u015b\u0107 skupia si\u0119 wi\u0119c na ocenie tzw. \u201eworst case risk\u201d \u2013 ryzyka w najgorszym mo\u017cliwym scenariuszu. Oznacza to, \u017ce priorytetyzacja podatno\u015bci w KEV opiera si\u0119 na przypuszczeniu, \u017ce je\u015bli podatno\u015b\u0107 mo\u017ce by\u0107 wykorzystana do powa\u017cnych atak\u00f3w, takich jak zdalne wykonanie kodu lub pe\u0142ne przej\u0119cie kontroli nad systemem, jest ona traktowana z najwy\u017cszym priorytetem. Priorytetyzacja bierze wi\u0119c pod uwag\u0119 potencjalny maksymalny wp\u0142yw, jaki dana podatno\u015b\u0107 mo\u017ce wywo\u0142a\u0107, niezale\u017cnie od obecnych okoliczno\u015bci lub specyfiki \u015brodowiska, kt\u00f3re mog\u0142oby zmniejszy\u0107 to ryzyko w konkretnym przypadku.<\/p>\n\n\n\n

Ten konserwatywny podej\u015bcie do oceny ryzyka ma kluczowe znaczenie dla skutecznej obrony przed najbardziej destrukcyjnymi atakami, poniewa\u017c pozwala organizacjom przygotowa\u0107 si\u0119 na najgorsze, nawet je\u015bli rzeczywiste warunki eksploatacji mog\u0105 by\u0107 mniej krytyczne. KEV, koncentruj\u0105c si\u0119 na najgorszym scenariuszu, pomaga w identyfikacji i priorytetyzacji podatno\u015bci, kt\u00f3re maj\u0105 najwi\u0119ksze potencjalne skutki dla bezpiecze\u0144stwa og\u00f3lnego.<\/p>\n\n\n\n

No i tu jest pies (DataDog) pogrzebany i temat, kt\u00f3ry od d\u0142u\u017cszego czasu mnie nurtowa\u0142. Pami\u0119tacie Grudzie\u0144 2021, kiedy ca\u0142y \u015bwiat IT \u0142ata\u0142 podatno\u015b\u0107 Log4Shell, kt\u00f3ra mia\u0142a zagrozi\u0107 ca\u0142ej \u015bwiatowej infrastrukturze? Ju\u017c wtedy badacze podawali, \u017ce 93% rozwi\u0105za\u0144 cloudowych mo\u017ce by\u0107 podatnych<\/a>, a ostatnio Bia\u0142y Dom wspomina\u0142 go w swoim raporcie<\/a>, przytaczaj\u0105c przyk\u0142ad gro\u017anej podatno\u015bci z ostatnich lat. I cho\u0107 rzeczywi\u015bcie unikn\u0119li\u015bmy wtedy gro\u017anej sytuacji dzi\u0119ki kolektywnemu dzia\u0142aniu, to kilka spektakularnych incydent\u00f3w si\u0119 po drodze wydarzy\u0142o<\/a>. Ostatnio te\u017c zupe\u0142nie przypadkiem unikn\u0119li\u015bmy podobnie gro\u017anej sytuacji z bibliotek\u0105 xz<\/a> – i\u015bcie fascynuj\u0105ca historia.<\/p>\n\n\n

\n
\"\"<\/figure><\/div>\n\n\n

Jednak nie wiem jak wy, ale kiedy s\u0142ysz\u0119, \u017ce 90% aplikacji posiada powa\u017cny wektor ataku (cho\u0107 jak pisa\u0142em, gdy lepiej si\u0119 przyjrze\u0107 to bardziej mowa tu o 55%, co i tak jest jak\u0105\u015b kosmiczn\u0105 liczb\u0105), to czyta si\u0119 to wr\u0119cz nierealnie. I pewnie dlatego coraz cz\u0119\u015bciej w spo\u0142eczno\u015bci security (a jako, \u017ce nie jestem Security Engineerem w temacie nie jestem, to celeowo odbi\u0142em sobie te przemy\u015blenia od specjalist\u00f3w z pro\u015bb\u0105 o proof reading) m\u00f3wi si\u0119 o problemach z CVSS<\/a>, wymy\u015blaj\u0105c alternatywne metryki jak VISS (Vulnerability Impact Scoring System) od Zooma czy EPSS<\/a> (Exploit Prediction Scoring System). I akurat wymienione javowe podatno\u015bci rzeczywi\u015bcie nale\u017c\u0105 do gro\u017anych cho\u0107by wed\u0142ug wspomnianego EPSS, a i sam DataDog ostrzega przed zwodniczo\u015bci\u0105 \u201ckrytyczno\u015bci\u201d poszczeg\u00f3lnych zagro\u017ce\u0144, to robi to robi to dopiero, gdy ju\u017c najpierw wszystkich postraszy wykr\u0119conymi liczbami. Do tego podatno\u015bci w samych j\u0119zykach i bibliotekach maj\u0105 inna specyfik\u0119 od podatno\u015bci np. w urz\u0105dzeniu sieciowym gdy\u017c du\u017co ci\u0119\u017cej dosta\u0107 si\u0119 do nich, bo ma\u0142o kt\u00f3ry interfejs jest wystawiany bezpo\u015brednio na Internet. No i pytanie, czy nie warto wyra\u017aniej podkre\u015bli\u0107 to, \u017ce podatno\u015b\u0107 w komponencie nie oznacza podatno\u015bci w aplikacji \u2013 bo mo\u017ce nie by\u0107 dana funkcja wykorzystywana\/lub nie istnie\u0107 \u0142atwa \u015bcie\u017cka exploitacji.<\/p>\n\n\n\n

I \u017ceby by\u0142a jasno\u015b\u0107, ja nie m\u00f3wi\u0119, \u017ceby bagatelizowa\u0107 (i tak szeroko rozumiany biznes to b\u0119dzie w\u0142a\u015bnie robi\u0142, nawet bez mojego dok\u0142adania kamyczk\u00f3w do ogr\u00f3dka). To nad czym si\u0119 zastanawiam, to czy takimi krzykliwymi nag\u0142\u00f3wkami nie robimy sobie po prostu krzywdy i one po prostu bardziej usypiaj\u0105 czujno\u015b\u0107 ni\u017c realnie maj\u0105 prze\u0142o\u017cenie na zwi\u0119kszanie \u015bwiadomo\u015bci organizacji. Fakt jest taki, \u017ce wi\u0119kszo\u015b\u0107 os\u00f3b do kt\u00f3rych mo\u017ce trafi\u0107 artyku\u0142 nie wie, jak nale\u017cy rozumie\u0107 u\u017cywane w nim terminy, dzi\u0119ki temu \u0142atwo wybiera\u0107 sobie z\u0142e cele – jak na przyk\u0142ad eliminowanie Javy (no bo niebezpieczna) lub inwestycja w jeszcze lepsze skanery podatno\u015bci (co by wykrywa\u0107 jeszcze wi\u0119ksze ilo\u015bci podatno\u015bci, w du\u017cych enterprisach potrafi\u0105cych i\u015b\u0107 w tysi\u0105ce).<\/p>\n\n\n\n

Dzi\u0119ki c\u00f3rce na nowo odkrywam, m\u0105dro\u015b\u0107 zawart\u0105 w starych bajkach, i to takich naprawd\u0119 starych, bo mowa tutaj o Ezopie, szczeg\u00f3lnie w jego Ch\u0142opiec, kt\u00f3ry wo\u0142a\u0142 o pomoc<\/a>, gdzie tytu\u0142owy Ch\u0142opiec wielokrotnie fa\u0142szywie alarmowa\u0142 o ataku wilka, a gdy naprawd\u0119 si\u0119 pojawi\u0142, nikt mu nie uwierzy\u0142 i nie przyszed\u0142 z pomoc\u0105. My\u015bl\u0119, \u017ce analogia jest tutaj czytelna.<\/p>\n\n\n

\n
\"\"<\/figure><\/div>","protected":false},"excerpt":{"rendered":"

Dzisiaj tylko jeden temat, ale dlatego \u017ce chcia\u0142em podzieli\u0107 moimi szerszymi przemy\u015bleniami o najnowszym raporcie DataDoga.<\/p>\n","protected":false},"author":10,"featured_media":18077,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[259],"tags":[],"class_list":["post-18056","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-jvm-pl"],"acf":{"estimated_reading_time":"6","feature_image_blog":false,"weekly_summary":true,"push_notification_image":false,"feature_image_visible":false},"yoast_head":"\n"90% of Java services have critical or severe security vulnerabilities"... czyli o tym, jak trudno m\u00f3wi si\u0119 o bezpiecze\u0144stwie \u2013 JVM Weekly vol. 172 - Vived<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/\" \/>\n<meta property=\"og:locale\" content=\"pl_PL\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\""90% of Java services have critical or severe security vulnerabilities"... czyli o tym, jak trudno m\u00f3wi si\u0119 o bezpiecze\u0144stwie \u2013 JVM Weekly vol. 172 - Vived\" \/>\n<meta property=\"og:description\" content=\"Dzisiaj tylko jeden temat, ale dlatego \u017ce chcia\u0142em podzieli\u0107 moimi szerszymi przemy\u015bleniami o najnowszym raporcie DataDoga.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/\" \/>\n<meta property=\"og:site_name\" content=\"Vived\" \/>\n<meta property=\"article:published_time\" content=\"2024-04-25T09:29:50+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-04-26T11:48:53+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/Group-780-4-1024x560.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1024\" \/>\n\t<meta property=\"og:image:height\" content=\"560\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Artur Skowro\u0144ski\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/\"},\"author\":{\"name\":\"Artur Skowro\u0144ski\",\"@id\":\"https:\/\/vived.io\/pl\/#\/schema\/person\/0eb0878110cb27edfbfe46e841fe6db3\"},\"headline\":\"„90% of Java services have critical or severe security vulnerabilities”… czyli o tym, jak trudno m\u00f3wi si\u0119 o bezpiecze\u0144stwie \u2013 JVM Weekly vol. 172\",\"datePublished\":\"2024-04-25T09:29:50+00:00\",\"dateModified\":\"2024-04-26T11:48:53+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/\"},\"wordCount\":1355,\"publisher\":{\"@id\":\"https:\/\/vived.io\/pl\/#organization\"},\"image\":{\"@id\":\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/Group-780-4.png\",\"articleSection\":[\"JVM\"],\"inLanguage\":\"pl-PL\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/\",\"url\":\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/\",\"name\":\"\\\"90% of Java services have critical or severe security vulnerabilities\\\"... czyli o tym, jak trudno m\u00f3wi si\u0119 o bezpiecze\u0144stwie \u2013 JVM Weekly vol. 172 - Vived\",\"isPartOf\":{\"@id\":\"https:\/\/vived.io\/pl\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/Group-780-4.png\",\"datePublished\":\"2024-04-25T09:29:50+00:00\",\"dateModified\":\"2024-04-26T11:48:53+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#breadcrumb\"},\"inLanguage\":\"pl-PL\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"pl-PL\",\"@id\":\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#primaryimage\",\"url\":\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/Group-780-4.png\",\"contentUrl\":\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/Group-780-4.png\",\"width\":1976,\"height\":1080},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Strona g\u0142\u00f3wna\",\"item\":\"https:\/\/vived.io\/pl\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"„90% of Java services have critical or severe security vulnerabilities”… czyli o tym, jak trudno m\u00f3wi si\u0119 o bezpiecze\u0144stwie \u2013 JVM Weekly vol. 172\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/vived.io\/pl\/#website\",\"url\":\"https:\/\/vived.io\/pl\/\",\"name\":\"Vived\",\"description\":\"platform empowering IT people and technology companies to synergic growth\",\"publisher\":{\"@id\":\"https:\/\/vived.io\/pl\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/vived.io\/pl\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"pl-PL\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/vived.io\/pl\/#organization\",\"name\":\"Vived\",\"url\":\"https:\/\/vived.io\/pl\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pl-PL\",\"@id\":\"https:\/\/vived.io\/pl\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/vived.io\/wp-content\/uploads\/2020\/03\/logo_vived_color.png\",\"contentUrl\":\"https:\/\/vived.io\/wp-content\/uploads\/2020\/03\/logo_vived_color.png\",\"width\":136,\"height\":45,\"caption\":\"Vived\"},\"image\":{\"@id\":\"https:\/\/vived.io\/pl\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/vived.io\/pl\/#\/schema\/person\/0eb0878110cb27edfbfe46e841fe6db3\",\"name\":\"Artur Skowro\u0144ski\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pl-PL\",\"@id\":\"https:\/\/vived.io\/pl\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/29055786486c8b9dc1507f2744221c5bdb8d7ef6e6217ced0326dd3296aea6ed?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/29055786486c8b9dc1507f2744221c5bdb8d7ef6e6217ced0326dd3296aea6ed?s=96&d=mm&r=g\",\"caption\":\"Artur Skowro\u0144ski\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"\"90% of Java services have critical or severe security vulnerabilities\"... czyli o tym, jak trudno m\u00f3wi si\u0119 o bezpiecze\u0144stwie \u2013 JVM Weekly vol. 172 - Vived","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/","og_locale":"pl_PL","og_type":"article","og_title":"\"90% of Java services have critical or severe security vulnerabilities\"... czyli o tym, jak trudno m\u00f3wi si\u0119 o bezpiecze\u0144stwie \u2013 JVM Weekly vol. 172 - Vived","og_description":"Dzisiaj tylko jeden temat, ale dlatego \u017ce chcia\u0142em podzieli\u0107 moimi szerszymi przemy\u015bleniami o najnowszym raporcie DataDoga.","og_url":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/","og_site_name":"Vived","article_published_time":"2024-04-25T09:29:50+00:00","article_modified_time":"2024-04-26T11:48:53+00:00","og_image":[{"width":1024,"height":560,"url":"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/Group-780-4-1024x560.png","type":"image\/png"}],"author":"Artur Skowro\u0144ski","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#article","isPartOf":{"@id":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/"},"author":{"name":"Artur Skowro\u0144ski","@id":"https:\/\/vived.io\/pl\/#\/schema\/person\/0eb0878110cb27edfbfe46e841fe6db3"},"headline":"„90% of Java services have critical or severe security vulnerabilities”… czyli o tym, jak trudno m\u00f3wi si\u0119 o bezpiecze\u0144stwie \u2013 JVM Weekly vol. 172","datePublished":"2024-04-25T09:29:50+00:00","dateModified":"2024-04-26T11:48:53+00:00","mainEntityOfPage":{"@id":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/"},"wordCount":1355,"publisher":{"@id":"https:\/\/vived.io\/pl\/#organization"},"image":{"@id":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#primaryimage"},"thumbnailUrl":"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/Group-780-4.png","articleSection":["JVM"],"inLanguage":"pl-PL"},{"@type":"WebPage","@id":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/","url":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/","name":"\"90% of Java services have critical or severe security vulnerabilities\"... czyli o tym, jak trudno m\u00f3wi si\u0119 o bezpiecze\u0144stwie \u2013 JVM Weekly vol. 172 - Vived","isPartOf":{"@id":"https:\/\/vived.io\/pl\/#website"},"primaryImageOfPage":{"@id":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#primaryimage"},"image":{"@id":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#primaryimage"},"thumbnailUrl":"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/Group-780-4.png","datePublished":"2024-04-25T09:29:50+00:00","dateModified":"2024-04-26T11:48:53+00:00","breadcrumb":{"@id":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#breadcrumb"},"inLanguage":"pl-PL","potentialAction":[{"@type":"ReadAction","target":["https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/"]}]},{"@type":"ImageObject","inLanguage":"pl-PL","@id":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#primaryimage","url":"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/Group-780-4.png","contentUrl":"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/Group-780-4.png","width":1976,"height":1080},{"@type":"BreadcrumbList","@id":"https:\/\/vived.io\/pl\/90-of-java-services-have-critical-or-severe-security-vulnerabilities-czyli-o-tym-jak-trudno-mowi-sie-o-bezpieczenstwie-jvm-weekly-vol-172\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Strona g\u0142\u00f3wna","item":"https:\/\/vived.io\/pl\/"},{"@type":"ListItem","position":2,"name":"„90% of Java services have critical or severe security vulnerabilities”… czyli o tym, jak trudno m\u00f3wi si\u0119 o bezpiecze\u0144stwie \u2013 JVM Weekly vol. 172"}]},{"@type":"WebSite","@id":"https:\/\/vived.io\/pl\/#website","url":"https:\/\/vived.io\/pl\/","name":"Vived","description":"platform empowering IT people and technology companies to synergic growth","publisher":{"@id":"https:\/\/vived.io\/pl\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/vived.io\/pl\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"pl-PL"},{"@type":"Organization","@id":"https:\/\/vived.io\/pl\/#organization","name":"Vived","url":"https:\/\/vived.io\/pl\/","logo":{"@type":"ImageObject","inLanguage":"pl-PL","@id":"https:\/\/vived.io\/pl\/#\/schema\/logo\/image\/","url":"https:\/\/vived.io\/wp-content\/uploads\/2020\/03\/logo_vived_color.png","contentUrl":"https:\/\/vived.io\/wp-content\/uploads\/2020\/03\/logo_vived_color.png","width":136,"height":45,"caption":"Vived"},"image":{"@id":"https:\/\/vived.io\/pl\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/vived.io\/pl\/#\/schema\/person\/0eb0878110cb27edfbfe46e841fe6db3","name":"Artur Skowro\u0144ski","image":{"@type":"ImageObject","inLanguage":"pl-PL","@id":"https:\/\/vived.io\/pl\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/29055786486c8b9dc1507f2744221c5bdb8d7ef6e6217ced0326dd3296aea6ed?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/29055786486c8b9dc1507f2744221c5bdb8d7ef6e6217ced0326dd3296aea6ed?s=96&d=mm&r=g","caption":"Artur Skowro\u0144ski"}}]}},"blocks_vived":[{"blockName":"core\/image","attrs":{"id":18075,"sizeSlug":"full","linkDestination":"none","align":"center"},"innerBlocks":[],"innerHTML":"\n<figure class=\"wp-block-image aligncenter size-full\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-23.png\" alt=\"\" class=\"wp-image-18075\"\/><\/figure>\n","innerContent":["\n<figure class=\"wp-block-image aligncenter size-full\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-23.png\" alt=\"\" class=\"wp-image-18075\"\/><\/figure>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>Tym razem b\u0119dzie nieco filozoficznie. Jak pewnie domy\u015blacie si\u0119, wybieraj\u0105c tematy do ka\u017cdej kolejnej edycji przebijam si\u0119 przez mas\u0119 nag\u0142\u00f3wk\u00f3w i temat\u00f3w, aby wybra\u0107 realnie to co z mojej perspektywy najciekawsze. Dlatego te\u017c kiedy zobaczy\u0142em, \u017ce w raporcie <a href=\"https:\/\/www.datadoghq.com\/state-of-devsecops\/\">The State of DevSecOps<\/a> DataDoga (kt\u00f3rego osobi\u015bcie wyj\u0105tkowo szanuje) sporo miejsca po\u015bwi\u0119cono Javie, stwierdzi\u0142em \u017ce musz\u0119 si\u0119 z tym wpisem lepiej zapozna\u0107 - bezpiecze\u0144stwo wa\u017cna rzecz, w zwi\u0105zku z tym zobaczmy, co oni tam ciekawego wygrzebali. I co mnie przywita\u0142o?<\/p>\n","innerContent":["\n<p>Tym razem b\u0119dzie nieco filozoficznie. Jak pewnie domy\u015blacie si\u0119, wybieraj\u0105c tematy do ka\u017cdej kolejnej edycji przebijam si\u0119 przez mas\u0119 nag\u0142\u00f3wk\u00f3w i temat\u00f3w, aby wybra\u0107 realnie to co z mojej perspektywy najciekawsze. Dlatego te\u017c kiedy zobaczy\u0142em, \u017ce w raporcie <a href=\"https:\/\/www.datadoghq.com\/state-of-devsecops\/\">The State of DevSecOps<\/a> DataDoga (kt\u00f3rego osobi\u015bcie wyj\u0105tkowo szanuje) sporo miejsca po\u015bwi\u0119cono Javie, stwierdzi\u0142em \u017ce musz\u0119 si\u0119 z tym wpisem lepiej zapozna\u0107 - bezpiecze\u0144stwo wa\u017cna rzecz, w zwi\u0105zku z tym zobaczmy, co oni tam ciekawego wygrzebali. I co mnie przywita\u0142o?<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/image","attrs":{"id":18084,"sizeSlug":"full","linkDestination":"none"},"innerBlocks":[],"innerHTML":"\n<figure class=\"wp-block-image size-full\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-24.png\" alt=\"\" class=\"wp-image-18084\"\/><\/figure>\n","innerContent":["\n<figure class=\"wp-block-image size-full\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-24.png\" alt=\"\" class=\"wp-image-18084\"\/><\/figure>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>I w tym momencie stwierdzi\u0142em, \u017ce ja ju\u017c \u015bwiata nie rozumiem. Albo mamy totaln\u0105 apokalips\u0119 je\u015bli chodzi o software i software supply chain, albo z tymi liczbami jest co\u015b nie tak. Poniewa\u017c wiecie - skoro 90% serwis\u00f3w Javowych posiada POWA\u017bNE luki security, to bior\u0105c pod uwag\u0119, \u017ce w dzisiejszych czasach byle dzieciak z ChatGPT podobno mo\u017ce zosta\u0107 hakerem, to w tej wi\u0119kszo\u015bci biznes\u00f3w to ju\u017c powinno nie by\u0107, prawda? Dlatego te\u017c stwierdzi\u0142em, \u017ce wykorzystam t\u0105 sytuacj\u0119 aby troch\u0119 wyja\u015bni\u0107 sytuacj\u0119, bo \u015bwietnie wpisuje w szersz\u0105 dyskusj\u0119 na temat raportowania zagro\u017ce\u0144.<\/p>\n","innerContent":["\n<p>I w tym momencie stwierdzi\u0142em, \u017ce ja ju\u017c \u015bwiata nie rozumiem. Albo mamy totaln\u0105 apokalips\u0119 je\u015bli chodzi o software i software supply chain, albo z tymi liczbami jest co\u015b nie tak. Poniewa\u017c wiecie - skoro 90% serwis\u00f3w Javowych posiada POWA\u017bNE luki security, to bior\u0105c pod uwag\u0119, \u017ce w dzisiejszych czasach byle dzieciak z ChatGPT podobno mo\u017ce zosta\u0107 hakerem, to w tej wi\u0119kszo\u015bci biznes\u00f3w to ju\u017c powinno nie by\u0107, prawda? Dlatego te\u017c stwierdzi\u0142em, \u017ce wykorzystam t\u0105 sytuacj\u0119 aby troch\u0119 wyja\u015bni\u0107 sytuacj\u0119, bo \u015bwietnie wpisuje w szersz\u0105 dyskusj\u0119 na temat raportowania zagro\u017ce\u0144.<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>No dobra, ale co tak naprawd\u0119 m\u00f3wi nam <a href=\"https:\/\/www.datadoghq.com\/state-of-devsecops\/\">The State of DevSecOps<\/a>? Raport, oparty o dane telemetryczne zbierane masowo przez DataDog, podsumowuje (mi\u0119dzy innymi) ilo\u015b\u0107 aplikacji posiadaj\u0105cych gro\u017ane podatno\u015bci, w oparciu Katalogu Znanych Wykorzystywanych Podatno\u015bci (KEV) prowadzonym przez Ameryka\u0144sk\u0105 Agencj\u0119 Cyberbezpiecze\u0144stwa i Bezpiecze\u0144stwa Infrastruktury (CISA). Katalog ten, b\u0119d\u0105cy aktualizowanym na bie\u017c\u0105co zbiorem, zawiera informacje o podatno\u015bciach aktywnie wykorzystywanych przez cyberprzest\u0119pc\u00f3w do kompromitowania system\u00f3w. Analiza danych z tego katalogu pokazuje, \u017ce us\u0142ugi Java s\u0105 nadreprezentowane w stosunku do innych j\u0119zyk\u00f3w programowania, z 55% us\u0142ug Java dotkni\u0119tych problemem (szczerze to nie wiem sk\u0105d wzi\u0119\u0142a si\u0119 liczba 90% na wykresie - wgryzaj\u0105c si\u0119 w metodologie, to pewnie wyniki ze wspomnianego w metodologi Software Composition Analysis, funkcjonalno\u015bci Datadog Application Security Management), w por\u00f3wnaniu do tylko 7% us\u0142ug zbudowanych przy u\u017cyciu innych technologii.<\/p>\n","innerContent":["\n<p>No dobra, ale co tak naprawd\u0119 m\u00f3wi nam <a href=\"https:\/\/www.datadoghq.com\/state-of-devsecops\/\">The State of DevSecOps<\/a>? Raport, oparty o dane telemetryczne zbierane masowo przez DataDog, podsumowuje (mi\u0119dzy innymi) ilo\u015b\u0107 aplikacji posiadaj\u0105cych gro\u017ane podatno\u015bci, w oparciu Katalogu Znanych Wykorzystywanych Podatno\u015bci (KEV) prowadzonym przez Ameryka\u0144sk\u0105 Agencj\u0119 Cyberbezpiecze\u0144stwa i Bezpiecze\u0144stwa Infrastruktury (CISA). Katalog ten, b\u0119d\u0105cy aktualizowanym na bie\u017c\u0105co zbiorem, zawiera informacje o podatno\u015bciach aktywnie wykorzystywanych przez cyberprzest\u0119pc\u00f3w do kompromitowania system\u00f3w. Analiza danych z tego katalogu pokazuje, \u017ce us\u0142ugi Java s\u0105 nadreprezentowane w stosunku do innych j\u0119zyk\u00f3w programowania, z 55% us\u0142ug Java dotkni\u0119tych problemem (szczerze to nie wiem sk\u0105d wzi\u0119\u0142a si\u0119 liczba 90% na wykresie - wgryzaj\u0105c si\u0119 w metodologie, to pewnie wyniki ze wspomnianego w metodologi Software Composition Analysis, funkcjonalno\u015bci Datadog Application Security Management), w por\u00f3wnaniu do tylko 7% us\u0142ug zbudowanych przy u\u017cyciu innych technologii.<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p><a href=\"https:\/\/www.datadoghq.com\/state-of-devsecops\/\">The State of DevSecOps<\/a> pochyla si\u0119 te\u017c nad przyczyn\u0105, podatno\u015bciami w javowych cz\u0119sto wynika z tzw. po\u015brednich zale\u017cno\u015bci, czyli bibliotek third-party, dystrybuowanymi z u\u017cywanymi przez nas zale\u017cno\u015bciami, cho\u0107 nie s\u0105 bezpo\u015brednio dodawane przez programist\u00f3w - jest to tak zwany Software Supply Chain, o kt\u00f3rym si\u0119 tyle m\u00f3wi ostatnimi laty. Te po\u015brednie zale\u017cno\u015bci stanowi\u0105 wi\u0119kszo\u015b\u0107 podatno\u015bci zale\u017cno\u015bci third-party, co znacz\u0105co utrudnia identyfikacj\u0119 i zarz\u0105dzanie potencjalnymi ryzykami bezpiecze\u0144stwa. Java pod tym k\u0105tem prezentuje si\u0119 gorzej od w zasadzie ka\u017cdego innego por\u00f3wnywanego ekosystemu. Chocia\u017c jak si\u0119 wczyta\u0107 w metodologie raportu, to jest w tym ma\u0142y kruczek...<\/p>\n","innerContent":["\n<p><a href=\"https:\/\/www.datadoghq.com\/state-of-devsecops\/\">The State of DevSecOps<\/a> pochyla si\u0119 te\u017c nad przyczyn\u0105, podatno\u015bciami w javowych cz\u0119sto wynika z tzw. po\u015brednich zale\u017cno\u015bci, czyli bibliotek third-party, dystrybuowanymi z u\u017cywanymi przez nas zale\u017cno\u015bciami, cho\u0107 nie s\u0105 bezpo\u015brednio dodawane przez programist\u00f3w - jest to tak zwany Software Supply Chain, o kt\u00f3rym si\u0119 tyle m\u00f3wi ostatnimi laty. Te po\u015brednie zale\u017cno\u015bci stanowi\u0105 wi\u0119kszo\u015b\u0107 podatno\u015bci zale\u017cno\u015bci third-party, co znacz\u0105co utrudnia identyfikacj\u0119 i zarz\u0105dzanie potencjalnymi ryzykami bezpiecze\u0144stwa. Java pod tym k\u0105tem prezentuje si\u0119 gorzej od w zasadzie ka\u017cdego innego por\u00f3wnywanego ekosystemu. Chocia\u017c jak si\u0119 wczyta\u0107 w metodologie raportu, to jest w tym ma\u0142y kruczek...<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/image","attrs":{"id":18065,"sizeSlug":"full","linkDestination":"none","align":"center"},"innerBlocks":[],"innerHTML":"\n<figure class=\"wp-block-image aligncenter size-full\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-20.png\" alt=\"\" class=\"wp-image-18065\"\/><figcaption class=\"wp-element-caption\">Wszystkie aplikacje s\u0105 chore, te Javowe zosta\u0142y po prostu lepiej przebadane.<\/figcaption><\/figure>\n","innerContent":["\n<figure class=\"wp-block-image aligncenter size-full\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-20.png\" alt=\"\" class=\"wp-image-18065\"\/><figcaption class=\"wp-element-caption\">Wszystkie aplikacje s\u0105 chore, te Javowe zosta\u0142y po prostu lepiej przebadane.<\/figcaption><\/figure>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>Artyku\u0142 podkre\u015bla te\u017c konieczno\u015b\u0107 analizy pe\u0142nego drzewa zale\u017cno\u015bci (dobra rada, warto wiedzie\u0107 co ma si\u0119 w bebechach), zar\u00f3wno bezpo\u015brednich, jak i po\u015brednich, podczas skanowania aplikacji pod k\u0105tem podatno\u015bci. Prezentuje te\u017c narz\u0119dzia takie jak Scorecard od OpenSSF, oceniaj\u0105ce stan zdrowia bibliotek open source. Mamy wi\u0119c ca\u0142kiem poka\u017any zbi\u00f3r informacji.<\/p>\n","innerContent":["\n<p>Artyku\u0142 podkre\u015bla te\u017c konieczno\u015b\u0107 analizy pe\u0142nego drzewa zale\u017cno\u015bci (dobra rada, warto wiedzie\u0107 co ma si\u0119 w bebechach), zar\u00f3wno bezpo\u015brednich, jak i po\u015brednich, podczas skanowania aplikacji pod k\u0105tem podatno\u015bci. Prezentuje te\u017c narz\u0119dzia takie jak Scorecard od OpenSSF, oceniaj\u0105ce stan zdrowia bibliotek open source. Mamy wi\u0119c ca\u0142kiem poka\u017any zbi\u00f3r informacji.<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>I to s\u0105 wszystko dobre rady, ale...<\/p>\n","innerContent":["\n<p>I to s\u0105 wszystko dobre rady, ale...<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/image","attrs":{"id":18068,"width":"990px","height":"auto","sizeSlug":"large","linkDestination":"none","align":"center"},"innerBlocks":[],"innerHTML":"\n<figure class=\"wp-block-image aligncenter size-large is-resized\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-21-1024x576.png\" alt=\"\" class=\"wp-image-18068\" style=\"width:990px;height:auto\"\/><\/figure>\n","innerContent":["\n<figure class=\"wp-block-image aligncenter size-large is-resized\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-21-1024x576.png\" alt=\"\" class=\"wp-image-18068\" style=\"width:990px;height:auto\"\/><\/figure>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>Wspomniany KEV opiera si\u0119 o CVSS jest standardem bran\u017cowym, kt\u00f3ry dostarcza otwart\u0105 i ujednolicon\u0105 metod\u0119 oceny ci\u0119\u017caru podatno\u015bci bezpiecze\u0144stwa IT. System punktacji CVSS przypisuje liczbow\u0105 warto\u015b\u0107 ci\u0119\u017caru podatno\u015bci (od 0 do 10), bazuj\u0105c na r\u00f3\u017cnych metrykach, takich jak z\u0142o\u017cono\u015b\u0107 wykorzystania, wp\u0142yw na poufno\u015b\u0107, integralno\u015b\u0107 i dost\u0119pno\u015b\u0107 systemu oraz inne czynniki.<\/p>\n","innerContent":["\n<p>Wspomniany KEV opiera si\u0119 o CVSS jest standardem bran\u017cowym, kt\u00f3ry dostarcza otwart\u0105 i ujednolicon\u0105 metod\u0119 oceny ci\u0119\u017caru podatno\u015bci bezpiecze\u0144stwa IT. System punktacji CVSS przypisuje liczbow\u0105 warto\u015b\u0107 ci\u0119\u017caru podatno\u015bci (od 0 do 10), bazuj\u0105c na r\u00f3\u017cnych metrykach, takich jak z\u0142o\u017cono\u015b\u0107 wykorzystania, wp\u0142yw na poufno\u015b\u0107, integralno\u015b\u0107 i dost\u0119pno\u015b\u0107 systemu oraz inne czynniki.<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>Ca\u0142o\u015b\u0107 skupia si\u0119 wi\u0119c na ocenie tzw. \u201eworst case risk\u201d \u2013 ryzyka w najgorszym mo\u017cliwym scenariuszu. Oznacza to, \u017ce priorytetyzacja podatno\u015bci w KEV opiera si\u0119 na przypuszczeniu, \u017ce je\u015bli podatno\u015b\u0107 mo\u017ce by\u0107 wykorzystana do powa\u017cnych atak\u00f3w, takich jak zdalne wykonanie kodu lub pe\u0142ne przej\u0119cie kontroli nad systemem, jest ona traktowana z najwy\u017cszym priorytetem. Priorytetyzacja bierze wi\u0119c pod uwag\u0119 potencjalny maksymalny wp\u0142yw, jaki dana podatno\u015b\u0107 mo\u017ce wywo\u0142a\u0107, niezale\u017cnie od obecnych okoliczno\u015bci lub specyfiki \u015brodowiska, kt\u00f3re mog\u0142oby zmniejszy\u0107 to ryzyko w konkretnym przypadku.<\/p>\n","innerContent":["\n<p>Ca\u0142o\u015b\u0107 skupia si\u0119 wi\u0119c na ocenie tzw. \u201eworst case risk\u201d \u2013 ryzyka w najgorszym mo\u017cliwym scenariuszu. Oznacza to, \u017ce priorytetyzacja podatno\u015bci w KEV opiera si\u0119 na przypuszczeniu, \u017ce je\u015bli podatno\u015b\u0107 mo\u017ce by\u0107 wykorzystana do powa\u017cnych atak\u00f3w, takich jak zdalne wykonanie kodu lub pe\u0142ne przej\u0119cie kontroli nad systemem, jest ona traktowana z najwy\u017cszym priorytetem. Priorytetyzacja bierze wi\u0119c pod uwag\u0119 potencjalny maksymalny wp\u0142yw, jaki dana podatno\u015b\u0107 mo\u017ce wywo\u0142a\u0107, niezale\u017cnie od obecnych okoliczno\u015bci lub specyfiki \u015brodowiska, kt\u00f3re mog\u0142oby zmniejszy\u0107 to ryzyko w konkretnym przypadku.<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>Ten konserwatywny podej\u015bcie do oceny ryzyka ma kluczowe znaczenie dla skutecznej obrony przed najbardziej destrukcyjnymi atakami, poniewa\u017c pozwala organizacjom przygotowa\u0107 si\u0119 na najgorsze, nawet je\u015bli rzeczywiste warunki eksploatacji mog\u0105 by\u0107 mniej krytyczne. KEV, koncentruj\u0105c si\u0119 na najgorszym scenariuszu, pomaga w identyfikacji i priorytetyzacji podatno\u015bci, kt\u00f3re maj\u0105 najwi\u0119ksze potencjalne skutki dla bezpiecze\u0144stwa og\u00f3lnego.<\/p>\n","innerContent":["\n<p>Ten konserwatywny podej\u015bcie do oceny ryzyka ma kluczowe znaczenie dla skutecznej obrony przed najbardziej destrukcyjnymi atakami, poniewa\u017c pozwala organizacjom przygotowa\u0107 si\u0119 na najgorsze, nawet je\u015bli rzeczywiste warunki eksploatacji mog\u0105 by\u0107 mniej krytyczne. KEV, koncentruj\u0105c si\u0119 na najgorszym scenariuszu, pomaga w identyfikacji i priorytetyzacji podatno\u015bci, kt\u00f3re maj\u0105 najwi\u0119ksze potencjalne skutki dla bezpiecze\u0144stwa og\u00f3lnego.<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>No i tu jest pies (DataDog) pogrzebany i temat, kt\u00f3ry od d\u0142u\u017cszego czasu mnie nurtowa\u0142. Pami\u0119tacie Grudzie\u0144 2021, kiedy ca\u0142y \u015bwiat IT \u0142ata\u0142 podatno\u015b\u0107 Log4Shell, kt\u00f3ra mia\u0142a zagrozi\u0107 ca\u0142ej \u015bwiatowej infrastrukturze? Ju\u017c wtedy badacze podawali, \u017ce <a href=\"https:\/\/www.wiz.io\/blog\/10-days-later-enterprises-halfway-through-patching-log4shell\">93% rozwi\u0105za\u0144 cloudowych mo\u017ce by\u0107 podatnych<\/a>, a <a href=\"https:\/\/www.whitehouse.gov\/wp-content\/uploads\/2024\/02\/Final-ONCD-Technical-Report.pdf\">ostatnio Bia\u0142y Dom wspomina\u0142 go w swoim raporcie<\/a>, przytaczaj\u0105c przyk\u0142ad gro\u017anej podatno\u015bci z ostatnich lat. I cho\u0107 rzeczywi\u015bcie unikn\u0119li\u015bmy wtedy gro\u017anej sytuacji dzi\u0119ki kolektywnemu dzia\u0142aniu, to kilka <a href=\"https:\/\/www.cshub.com\/attacks\/news\/iotw-cisa-reveals-130gb-log4shell-breach\">spektakularnych incydent\u00f3w si\u0119 po drodze wydarzy\u0142o<\/a>. Ostatnio te\u017c zupe\u0142nie <a href=\"https:\/\/www.youtube.com\/watch?v=bS9em7Bg0iU&themeRefresh=1\">przypadkiem unikn\u0119li\u015bmy podobnie gro\u017anej sytuacji z bibliotek\u0105 xz<\/a> - i\u015bcie fascynuj\u0105ca historia.<\/p>\n","innerContent":["\n<p>No i tu jest pies (DataDog) pogrzebany i temat, kt\u00f3ry od d\u0142u\u017cszego czasu mnie nurtowa\u0142. Pami\u0119tacie Grudzie\u0144 2021, kiedy ca\u0142y \u015bwiat IT \u0142ata\u0142 podatno\u015b\u0107 Log4Shell, kt\u00f3ra mia\u0142a zagrozi\u0107 ca\u0142ej \u015bwiatowej infrastrukturze? Ju\u017c wtedy badacze podawali, \u017ce <a href=\"https:\/\/www.wiz.io\/blog\/10-days-later-enterprises-halfway-through-patching-log4shell\">93% rozwi\u0105za\u0144 cloudowych mo\u017ce by\u0107 podatnych<\/a>, a <a href=\"https:\/\/www.whitehouse.gov\/wp-content\/uploads\/2024\/02\/Final-ONCD-Technical-Report.pdf\">ostatnio Bia\u0142y Dom wspomina\u0142 go w swoim raporcie<\/a>, przytaczaj\u0105c przyk\u0142ad gro\u017anej podatno\u015bci z ostatnich lat. I cho\u0107 rzeczywi\u015bcie unikn\u0119li\u015bmy wtedy gro\u017anej sytuacji dzi\u0119ki kolektywnemu dzia\u0142aniu, to kilka <a href=\"https:\/\/www.cshub.com\/attacks\/news\/iotw-cisa-reveals-130gb-log4shell-breach\">spektakularnych incydent\u00f3w si\u0119 po drodze wydarzy\u0142o<\/a>. Ostatnio te\u017c zupe\u0142nie <a href=\"https:\/\/www.youtube.com\/watch?v=bS9em7Bg0iU&themeRefresh=1\">przypadkiem unikn\u0119li\u015bmy podobnie gro\u017anej sytuacji z bibliotek\u0105 xz<\/a> - i\u015bcie fascynuj\u0105ca historia.<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/image","attrs":{"id":18062,"sizeSlug":"full","linkDestination":"none","align":"center"},"innerBlocks":[],"innerHTML":"\n<figure class=\"wp-block-image aligncenter size-full\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-19.png\" alt=\"\" class=\"wp-image-18062\"\/><\/figure>\n","innerContent":["\n<figure class=\"wp-block-image aligncenter size-full\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-19.png\" alt=\"\" class=\"wp-image-18062\"\/><\/figure>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>Jednak nie wiem jak wy, ale kiedy s\u0142ysz\u0119, \u017ce 90% aplikacji posiada powa\u017cny wektor ataku (cho\u0107 jak pisa\u0142em, gdy lepiej si\u0119 przyjrze\u0107 to bardziej mowa tu o 55%, co i tak jest jak\u0105\u015b kosmiczn\u0105 liczb\u0105), to czyta si\u0119 to wr\u0119cz nierealnie. I pewnie dlatego coraz cz\u0119\u015bciej w spo\u0142eczno\u015bci security (a jako, \u017ce nie jestem Security Engineerem w temacie nie jestem, to celeowo odbi\u0142em sobie te przemy\u015blenia od specjalist\u00f3w z pro\u015bb\u0105 o proof reading) m\u00f3wi si\u0119 o <a href=\"https:\/\/www.softwaresecured.com\/post\/why-common-vulnerability-scoring-systems-suck\">problemach z CVSS<\/a>, wymy\u015blaj\u0105c alternatywne metryki jak VISS (Vulnerability Impact Scoring System) od Zooma czy <a href=\"https:\/\/www.first.org\/epss\/\">EPSS<\/a> (Exploit Prediction Scoring System). I akurat wymienione javowe podatno\u015bci rzeczywi\u015bcie nale\u017c\u0105 do gro\u017anych cho\u0107by wed\u0142ug wspomnianego EPSS, a i sam DataDog ostrzega przed zwodniczo\u015bci\u0105 \u201ckrytyczno\u015bci\u201d poszczeg\u00f3lnych zagro\u017ce\u0144, to robi to robi to dopiero, gdy ju\u017c najpierw wszystkich postraszy wykr\u0119conymi liczbami. Do tego podatno\u015bci w samych j\u0119zykach i bibliotekach maj\u0105 inna specyfik\u0119 od podatno\u015bci np. w urz\u0105dzeniu sieciowym gdy\u017c du\u017co ci\u0119\u017cej dosta\u0107 si\u0119 do nich, bo ma\u0142o kt\u00f3ry interfejs jest wystawiany bezpo\u015brednio na Internet. No i pytanie, czy nie warto wyra\u017aniej podkre\u015bli\u0107 to, \u017ce podatno\u015b\u0107 w komponencie nie oznacza podatno\u015bci w aplikacji \u2013 bo mo\u017ce nie by\u0107 dana funkcja wykorzystywana\/lub nie istnie\u0107 \u0142atwa \u015bcie\u017cka exploitacji.<\/p>\n","innerContent":["\n<p>Jednak nie wiem jak wy, ale kiedy s\u0142ysz\u0119, \u017ce 90% aplikacji posiada powa\u017cny wektor ataku (cho\u0107 jak pisa\u0142em, gdy lepiej si\u0119 przyjrze\u0107 to bardziej mowa tu o 55%, co i tak jest jak\u0105\u015b kosmiczn\u0105 liczb\u0105), to czyta si\u0119 to wr\u0119cz nierealnie. I pewnie dlatego coraz cz\u0119\u015bciej w spo\u0142eczno\u015bci security (a jako, \u017ce nie jestem Security Engineerem w temacie nie jestem, to celeowo odbi\u0142em sobie te przemy\u015blenia od specjalist\u00f3w z pro\u015bb\u0105 o proof reading) m\u00f3wi si\u0119 o <a href=\"https:\/\/www.softwaresecured.com\/post\/why-common-vulnerability-scoring-systems-suck\">problemach z CVSS<\/a>, wymy\u015blaj\u0105c alternatywne metryki jak VISS (Vulnerability Impact Scoring System) od Zooma czy <a href=\"https:\/\/www.first.org\/epss\/\">EPSS<\/a> (Exploit Prediction Scoring System). I akurat wymienione javowe podatno\u015bci rzeczywi\u015bcie nale\u017c\u0105 do gro\u017anych cho\u0107by wed\u0142ug wspomnianego EPSS, a i sam DataDog ostrzega przed zwodniczo\u015bci\u0105 \u201ckrytyczno\u015bci\u201d poszczeg\u00f3lnych zagro\u017ce\u0144, to robi to robi to dopiero, gdy ju\u017c najpierw wszystkich postraszy wykr\u0119conymi liczbami. Do tego podatno\u015bci w samych j\u0119zykach i bibliotekach maj\u0105 inna specyfik\u0119 od podatno\u015bci np. w urz\u0105dzeniu sieciowym gdy\u017c du\u017co ci\u0119\u017cej dosta\u0107 si\u0119 do nich, bo ma\u0142o kt\u00f3ry interfejs jest wystawiany bezpo\u015brednio na Internet. No i pytanie, czy nie warto wyra\u017aniej podkre\u015bli\u0107 to, \u017ce podatno\u015b\u0107 w komponencie nie oznacza podatno\u015bci w aplikacji \u2013 bo mo\u017ce nie by\u0107 dana funkcja wykorzystywana\/lub nie istnie\u0107 \u0142atwa \u015bcie\u017cka exploitacji.<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>I \u017ceby by\u0142a jasno\u015b\u0107, ja nie m\u00f3wi\u0119, \u017ceby bagatelizowa\u0107 (i tak szeroko rozumiany biznes to b\u0119dzie w\u0142a\u015bnie robi\u0142, nawet bez mojego dok\u0142adania kamyczk\u00f3w do ogr\u00f3dka). To nad czym si\u0119 zastanawiam, to czy takimi krzykliwymi nag\u0142\u00f3wkami nie robimy sobie po prostu krzywdy i one po prostu bardziej usypiaj\u0105 czujno\u015b\u0107 ni\u017c realnie maj\u0105 prze\u0142o\u017cenie na zwi\u0119kszanie \u015bwiadomo\u015bci organizacji. Fakt jest taki, \u017ce wi\u0119kszo\u015b\u0107 os\u00f3b do kt\u00f3rych mo\u017ce trafi\u0107 artyku\u0142 nie wie, jak nale\u017cy rozumie\u0107 u\u017cywane w nim terminy, dzi\u0119ki temu \u0142atwo wybiera\u0107 sobie z\u0142e cele - jak na przyk\u0142ad eliminowanie Javy (no bo niebezpieczna) lub inwestycja w jeszcze lepsze skanery podatno\u015bci (co by wykrywa\u0107 jeszcze wi\u0119ksze ilo\u015bci podatno\u015bci, w du\u017cych enterprisach potrafi\u0105cych i\u015b\u0107 w tysi\u0105ce).<\/p>\n","innerContent":["\n<p>I \u017ceby by\u0142a jasno\u015b\u0107, ja nie m\u00f3wi\u0119, \u017ceby bagatelizowa\u0107 (i tak szeroko rozumiany biznes to b\u0119dzie w\u0142a\u015bnie robi\u0142, nawet bez mojego dok\u0142adania kamyczk\u00f3w do ogr\u00f3dka). To nad czym si\u0119 zastanawiam, to czy takimi krzykliwymi nag\u0142\u00f3wkami nie robimy sobie po prostu krzywdy i one po prostu bardziej usypiaj\u0105 czujno\u015b\u0107 ni\u017c realnie maj\u0105 prze\u0142o\u017cenie na zwi\u0119kszanie \u015bwiadomo\u015bci organizacji. Fakt jest taki, \u017ce wi\u0119kszo\u015b\u0107 os\u00f3b do kt\u00f3rych mo\u017ce trafi\u0107 artyku\u0142 nie wie, jak nale\u017cy rozumie\u0107 u\u017cywane w nim terminy, dzi\u0119ki temu \u0142atwo wybiera\u0107 sobie z\u0142e cele - jak na przyk\u0142ad eliminowanie Javy (no bo niebezpieczna) lub inwestycja w jeszcze lepsze skanery podatno\u015bci (co by wykrywa\u0107 jeszcze wi\u0119ksze ilo\u015bci podatno\u015bci, w du\u017cych enterprisach potrafi\u0105cych i\u015b\u0107 w tysi\u0105ce).<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/paragraph","attrs":[],"innerBlocks":[],"innerHTML":"\n<p>Dzi\u0119ki c\u00f3rce na nowo odkrywam, m\u0105dro\u015b\u0107 zawart\u0105 w starych bajkach, i to takich naprawd\u0119 starych, bo mowa tutaj o Ezopie, szczeg\u00f3lnie w jego <a href=\"https:\/\/en.wikipedia.org\/wiki\/The_Boy_Who_Cried_Wolf\">Ch\u0142opiec, kt\u00f3ry wo\u0142a\u0142 o pomoc<\/a>, gdzie tytu\u0142owy Ch\u0142opiec wielokrotnie fa\u0142szywie alarmowa\u0142 o ataku wilka, a gdy naprawd\u0119 si\u0119 pojawi\u0142, nikt mu nie uwierzy\u0142 i nie przyszed\u0142 z pomoc\u0105. My\u015bl\u0119, \u017ce analogia jest tutaj czytelna.<\/p>\n","innerContent":["\n<p>Dzi\u0119ki c\u00f3rce na nowo odkrywam, m\u0105dro\u015b\u0107 zawart\u0105 w starych bajkach, i to takich naprawd\u0119 starych, bo mowa tutaj o Ezopie, szczeg\u00f3lnie w jego <a href=\"https:\/\/en.wikipedia.org\/wiki\/The_Boy_Who_Cried_Wolf\">Ch\u0142opiec, kt\u00f3ry wo\u0142a\u0142 o pomoc<\/a>, gdzie tytu\u0142owy Ch\u0142opiec wielokrotnie fa\u0142szywie alarmowa\u0142 o ataku wilka, a gdy naprawd\u0119 si\u0119 pojawi\u0142, nikt mu nie uwierzy\u0142 i nie przyszed\u0142 z pomoc\u0105. My\u015bl\u0119, \u017ce analogia jest tutaj czytelna.<\/p>\n"]},{"blockName":null,"attrs":[],"innerBlocks":[],"innerHTML":"\n\n","innerContent":["\n\n"]},{"blockName":"core\/image","attrs":{"id":18071,"width":"874px","height":"auto","sizeSlug":"full","linkDestination":"none","align":"center"},"innerBlocks":[],"innerHTML":"\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-22.png\" alt=\"\" class=\"wp-image-18071\" style=\"width:874px;height:auto\"\/><\/figure>\n","innerContent":["\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img src=\"https:\/\/vived.io\/wp-content\/uploads\/2024\/04\/image-22.png\" alt=\"\" class=\"wp-image-18071\" style=\"width:874px;height:auto\"\/><\/figure>\n"]}],"_links":{"self":[{"href":"https:\/\/vived.io\/pl\/wp-json\/wp\/v2\/posts\/18056","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vived.io\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vived.io\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vived.io\/pl\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/vived.io\/pl\/wp-json\/wp\/v2\/comments?post=18056"}],"version-history":[{"count":12,"href":"https:\/\/vived.io\/pl\/wp-json\/wp\/v2\/posts\/18056\/revisions"}],"predecessor-version":[{"id":18091,"href":"https:\/\/vived.io\/pl\/wp-json\/wp\/v2\/posts\/18056\/revisions\/18091"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vived.io\/pl\/wp-json\/wp\/v2\/media\/18077"}],"wp:attachment":[{"href":"https:\/\/vived.io\/pl\/wp-json\/wp\/v2\/media?parent=18056"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vived.io\/pl\/wp-json\/wp\/v2\/categories?post=18056"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vived.io\/pl\/wp-json\/wp\/v2\/tags?post=18056"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}