За последний год эксперты AppSec Solutions зафиксировали существенный рост числа уязвимостей в Open Source компонентах ПО. Их число выросло более чем на 10 000 (39387 против 29066 в 2023 ).
Эксперты изучили динамику роста уязвимостей открытого кода и обнаружили, что этот процесс, к тому же, ускорился. Если с 2021 по 2023 в год такого рода уязвимостей становилось больше в среднем на 5 000 ежегодно, за последний год мы наблюдали двукратный рост. А за последние 10 лет открытого кода с ошибками стало больше в 4,5 раза.
Заимствованного кода в коммерческом программном продукте может быть до 90%, поэтому степень угрозы сложно переоценить. При этом российские разработчики, уверяют эксперты, находятся под особым прицелом хакеров.
— Часто во вредоносном компоненте можно встретить проверку – если у тебя временная зона, к примеру, «Москва» или «Новосибирск», или язык системы русский, тогда зловредная нагрузка в ПО запускается. Еще одна из распространенных техник атаки выглядит следующим образом. Злоумышленник публикует программный пакет с названием, идентичным какому-нибудь внутреннему пакету компании, на которую он производит атаку.
Далее разработчик этой компании, если у него некорректно настроены его инструменты, хочет скачать внутренний пакет, а получает его из внешнего источника, который по умолчанию обладает более высоким приоритетом. В результате на машине у разработчика оказывается и запускается вредоносный код злоумышленника.
Злоумышленники активно используют техники по накрутке рейтинга своих компонентов и зловредный пакет может выглядеть как созданный крупной компанией с хорошей репутацией, но не являться таковым на самом деле. При этом злоумышленники могут атаковать автора пакета и вносить изменения от его имени, а также маскироваться под активных участников OSS (Open Source Software) комьюнити, делая полезные правки, но иногда содержащие встроенный вредоносный код.
Безопасность ПО с открытым исходным кодом — ключевой вопрос для разработчиков по всему миру. DevSecOps-вендоры из США Snyk и SOOS опубликовали ежегодное исследование среди команд, занимающихся разработкой ПО с использованием внешних компонентов. Общие выводы исследования можно свести к простым тезисам: риски растут, а бдительность ИТ-инженеров – нет.
Комьюнити в OSS разработки проделало большую работу по борьбе с уязвимостями открытого кода, и время их выявления существенно сократилось в 2024 по сравнению с прошлым годом.
По мнению опрошенных респондентов, время выявления недостатков в открытом коде почти вдвое меньше, чем в проприетарном программном обеспечении. При этом 5% опрошенных в ходе исследования указали, что не анализируют зависимости в открытом коде, 25% анализируют только часть.
Защитить российский разработчиков от зловредного кода могут инструменты, предотвращающие атаки на цепочку поставок ПО. Например, AppSec.Track позволяет инвентаризировать open source-компоненты и проверить их на наличие уязвимостей и вредоносного содержимого. Также продукт позволяет проводить мониторинг уже разработанных продуктов внутри компании, чтобы уведомить команду разработки о появлении новых уязвимостей в использованных ранее компонентах.
Эксперты изучили динамику роста уязвимостей открытого кода и обнаружили, что этот процесс, к тому же, ускорился. Если с 2021 по 2023 в год такого рода уязвимостей становилось больше в среднем на 5 000 ежегодно, за последний год мы наблюдали двукратный рост. А за последние 10 лет открытого кода с ошибками стало больше в 4,5 раза.
Заимствованного кода в коммерческом программном продукте может быть до 90%, поэтому степень угрозы сложно переоценить. При этом российские разработчики, уверяют эксперты, находятся под особым прицелом хакеров.
— Часто во вредоносном компоненте можно встретить проверку – если у тебя временная зона, к примеру, «Москва» или «Новосибирск», или язык системы русский, тогда зловредная нагрузка в ПО запускается. Еще одна из распространенных техник атаки выглядит следующим образом. Злоумышленник публикует программный пакет с названием, идентичным какому-нибудь внутреннему пакету компании, на которую он производит атаку.
Далее разработчик этой компании, если у него некорректно настроены его инструменты, хочет скачать внутренний пакет, а получает его из внешнего источника, который по умолчанию обладает более высоким приоритетом. В результате на машине у разработчика оказывается и запускается вредоносный код злоумышленника.
Злоумышленники активно используют техники по накрутке рейтинга своих компонентов и зловредный пакет может выглядеть как созданный крупной компанией с хорошей репутацией, но не являться таковым на самом деле. При этом злоумышленники могут атаковать автора пакета и вносить изменения от его имени, а также маскироваться под активных участников OSS (Open Source Software) комьюнити, делая полезные правки, но иногда содержащие встроенный вредоносный код.
Безопасность ПО с открытым исходным кодом — ключевой вопрос для разработчиков по всему миру. DevSecOps-вендоры из США Snyk и SOOS опубликовали ежегодное исследование среди команд, занимающихся разработкой ПО с использованием внешних компонентов. Общие выводы исследования можно свести к простым тезисам: риски растут, а бдительность ИТ-инженеров – нет.
Комьюнити в OSS разработки проделало большую работу по борьбе с уязвимостями открытого кода, и время их выявления существенно сократилось в 2024 по сравнению с прошлым годом.
По мнению опрошенных респондентов, время выявления недостатков в открытом коде почти вдвое меньше, чем в проприетарном программном обеспечении. При этом 5% опрошенных в ходе исследования указали, что не анализируют зависимости в открытом коде, 25% анализируют только часть.
Защитить российский разработчиков от зловредного кода могут инструменты, предотвращающие атаки на цепочку поставок ПО. Например, AppSec.Track позволяет инвентаризировать open source-компоненты и проверить их на наличие уязвимостей и вредоносного содержимого. Также продукт позволяет проводить мониторинг уже разработанных продуктов внутри компании, чтобы уведомить команду разработки о появлении новых уязвимостей в использованных ранее компонентах.
