Количество атак на программное обеспечение Open Source увеличилось на 430%

2020-08-13 2471 комментарии
Эксперты по безопасности предупреждают об увеличении на 430% в годовом исчислении атак, направленных непосредственно на компоненты с открытым исходным кодом с целью их скрытого заражения

Согласно ежегодному отчету “State of the Software Supply Chain” от компании Sonatype, в период с июля 2019 года по май 2020 года было зарегистрировано 929 атак. Исследование было составлено на основе анализа 24 000 проектов с открытым исходным кодом и 15 000 организаций-разработчиков, а также на основе интервью с 5600 разработчиками программного обеспечения.

Согласно отчету, в 2020 году прогнозируется 1,5 триллиона запросов на загрузку компонентов со всех основных экосистем с открытым исходным кодом.

Репозитории Node.js (npm) и Python (PyPI) считаются одними из наиболее часто используемых злоумышленниками, поскольку вредоносный код может быть легко запущен во время установки пакета.

Данный тип атак возможен, потому что в мире с открытым исходным кодом труднее различать участвующих разработчиков от злоумышленников, а также из-за взаимосвязанного характера проектов, утверждает Sonatype.

В последнем случае проекты с открытым исходным кодом могут иметь сотни или тысячи зависимостей от других проектов, которые могут содержать известные уязвимости, которые, в свою очередь, можно эксплуатировать.

В отчете говорится, что в 2019 году более 10% мировых загрузок Java OSS содержали по крайней мере одну уязвимость с открытым исходным кодом, при этом в течение трех дней после публичного раскрытия уязвимости использовались уже новые уязвимости.

Сегодня 90% компонентов в приложении имеют открытый исходный код, и известно, что 11% из них содержат уязвимости.

«Наше исследование показывает, что группы коммерческих инженеров быстрее реагируют на новые уязвимости нулевого дня», – сообщает Уэйн Джексон - генеральный директор Sonatype.

«Поэтому неудивительно, что количество атак нового поколения увеличилось на 430%, поскольку злоумышленники переносят свою деятельность «вверх по течению», где они могут заразить один компонент с открытым исходным кодом, который может быть распределен «вниз по течению», где он может подвергаться стратегической и тайной эксплуатации».

В отчете утверждается, что группы разработчиков могут снизить эти риски, если будут использовать инструменты автоматического анализа состава программного обеспечения (SCA) на протяжении всего жизненного цикла разработки и централизованно вести ведомость материалов (SBOM) для приложений .

© . Анатолий Гусляков. По материалам Infosecurity

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?