Поделиться
Охота на российских разработчиков. Эксперты зафиксировали рост уязвимостей в открытом коде в ПО на 25% в 2024 году
За последний год эксперты AppSec Solutions зафиксировали существенный рост числа уязвимостей в Open Source компонентах ПО. Их число выросло более чем на 10000 (39387 против 29066 в 2023 г.). Об этом CNews сообщили представители AppSec Solutions.
Эксперты изучили динамику роста уязвимостей открытого кода и обнаружили, что этот процесс, к тому же, ускорился. Если с 2021 по 2023 гг. в год такого рода уязвимостей становилось больше в среднем на 5000 ежегодно, за последний год специалисты AppSec Solutions наблюдали двукратный рост. А за последние 10 лет открытого кода с ошибками стало больше в 4,5 раза. Заимствованного кода в коммерческом программном продукте может быть до 90%, поэтому степень угрозы сложно переоценить. При этом российские разработчики, уверяют эксперты, находятся под особым прицелом хакеров.
«Часто во вредоносном компоненте можно встретить проверку – если у тебя временная зона, к примеру, «Москва» или «Новосибирск», или язык системы русский, тогда зловредная нагрузка в ПО запускается. Еще одна из распространенных техник атаки выглядит следующим образом. Злоумышленник публикует программный пакет с названием, идентичным какому-нибудь внутреннему пакету компании, на которую он производит атаку. Далее разработчик этой компании, если у него некорректно настроены его инструменты, хочет скачать внутренний пакет, а получает его из внешнего источника, который по умолчанию обладает более высоким приоритетом. В результате на машине у разработчика оказывается и запускается вредоносный код злоумышленника» — сказал Константин Крючков, директор продукта AppSec.Track компании AppSec Solutions.
Злоумышленники активно используют техники по накрутке рейтинга своих компонентов и зловредный пакет может выглядеть как созданный крупной компанией с хорошей репутацией, но не являться таковым на самом деле. При этом злоумышленники могут атаковать автора пакета и вносить изменения от его имени, а также маскироваться под активных участников OSS (Open Source Software) комьюнити, делая полезные правки, но иногда содержащие встроенный вредоносный код.
«Тренд на атаки через цепочку поставок ПО только увеличивается. Инфраструктура компаний растет, количество используемых и разрабатываемых компонентов тоже, при этом классические инструменты безопасности (антивирусы и файрволы) не способны полноценно интегрироваться в процесс разработки ПО, чтобы управлять связанными рисками. Это дает злоумышленникам новый вектор проведения атак. Более того, они используют автоматизацию и сегодня зловредные пакеты публикуются в конвейере, в том числе с использованием техник обфускации и динамического изменения содержимого каждого пакета. Это поставлено на поток, — сказал Константин Крючков.
Безопасность ПО с открытым исходным кодом — ключевой вопрос для разработчиков по всему миру. DevSecOps-вендоры из США Snyk и SOOS опубликовали ежегодное исследование среди команд, занимающихся разработкой ПО с использованием внешних компонентов. Общие выводы исследования можно свести к простым тезисам: риски растут, а бдительность ИТ-инженеров – нет. Комьюнити в OSS разработки проделало большую работу по борьбе с уязвимостями открытого кода, и время их выявления существенно сократилось в 2024 г. по сравнению с 2023 г. По мнению опрошенных респондентов, время выявления недостатков в открытом коде почти вдвое меньше, чем в проприетарном программном обеспечении. При этом 5% опрошенных в ходе исследования указали, что не анализируют зависимости в открытом коде, 25% анализируют только часть. Опрос, по мнению авторов, показал общие признаки истощения Application Security, большинство опрошенных команд стараются избежать выполнения требования по безопасной разработке, а более половины участников опроса, как оказалось, в принципе пропускают основные практики DevSecOps.
Короткая ссылка
