Свежий номер
Подписка на издание
Новости
Нейросети
.tech
Сервисы
Связь
Киберспорт
Как выбрать
Видео
.tech11.10.2024
В РФ упростили переход к другому мобильному оператору со своим номером телефона
27.12.2024 07:02
изменить размер шрифта: 1.0x

Число уязвимостей в открытом программном коде в 2024 году выросло на 25%

Как рассказали "РГ" эксперты AppSec Solutions, в ходе изучения динамики роста уязвимостей открытого кода (Open Source Software) они обнаружили заметное ускорение этого процесса в 2024 году. Если с 2021 по 2023 год уязвимостей такого рода становилось больше в среднем на 5 тыс. ежегодно, то за последний год наблюдается двукратный рост, и их число выросло более чем на 10 тыс. с 29 тыс. в 2023 году до 39 тыс. в 2024.

Степень таких угроз сложно переоценить, так как доля заимствованного Open Source кода в коммерческих программных продуктах может доходить до 90%, а российские разработчики ПО находятся под особым прицелом хакеров.

"Часто во вредоносном компоненте можно встретить проверку - если у тебя временная зона - например, "Москва" или "Новосибирск", или язык системы русский, тогда вредоносная нагрузка в ПО запускается", - отмечает директор продукта AppSec.Track Константин Крючков.

Злоумышленники активно используют различные техники для повышения рейтинга своих программных компонентов в репозиториях открытого ПО. Так, например, программный пакет, содержащий зловредный код, может выглядеть как созданный крупной компанией с хорошей репутацией, но не являться таковым на самом деле. При этом хакеры могут атаковать и авторов пакетов, вносить изменения от их имени, а также маскироваться под активных участников OSS (Open Source Software) комьюнити, делая полезные правки, лишь изредка содержащие встроенный вредоносный код.

Почему российские компании, разрабатывающие софт, так активно используют открытый программный код. В условиях ухода с рынка РФ зарубежных разработчиков сложного ПО и необходимости в сжатые сроки создавать импортозамещающие программные продукты, содержащие сотни тысяч или даже миллионы строк кода, у отечественных программистов просто нет других вариантов, кроме как использовать элементы открытого ПО. Так, например, ядро ОС Linux, которое также относится к открытому ПО, на котором базируются практически все российские операционные системы, состоит из 36 млн строк кода. Это примерно 1000 лет работы опытного программиста без выходных.

"Все больше российских компаний осознают преимущества open-source-решений в сложной геополитической обстановке с учетом ухода из страны западных вендоров. Рост применения открытого кода также связан с тем, что российские компании вместо покупки лицензионного ПО часто предпочитают нанимать разработчиков и адаптировать открытый проект под свои нужды", - подтверждает руководитель направления развития сообществ ИБ, Positive Technologies Антон Кутепов.

При этом тренд на использование в коммерческих продуктах открытого ПО не является исключительно российским.

Как рассказал "РГ" директор Института системного программирования им. В.П. Иванникова Российской академии наук Арутюн Аветисян, практически все крупнейшие международные софтверные корпорации, от Google до Microsoft, тоже используют элементы Open Source Software.

Таким образом, безопасность ПО с открытым исходным кодом становится ключевым вопросом для разработчиков всего мира. При этом, согласно последнему ежегодному исследованию американских компаний Snyk и SOOS, среди команд, занимающихся разработкой ПО с использованием внешних компонентов (Open Source), растут риски, а бдительность IT-инженеров - нет. Так 5% опрошенных в ходе исследования указали, что вообще не анализируют зависимости в открытом коде, а 25% анализируют лишь часть. Опрос, по мнению авторов, показал, что большинство опрошенных команд стараются избежать выполнения требований по безопасной разработке ПО.

"Сегодня эта проблема очень актуальна и в мире, и в России, ведь разработчикам доступны сотни миллионов пакетов с открытым исходным кодом, и проверить каждый их этих компонентов самостоятельно практически невозможно. При этом использование готовых пакетов с открытым исходным кодом при выполнении своих задач - очень эффективно. Это позволяет разработчикам сфокусироваться на комплексных проектах и индивидуальных требованиях к ПО, сэкономить время и ресурсы на создании стандартных функций. Однако в подобных пакетах могут содержаться случайные или намеренные уязвимости, а также вредоносный код. Более того, иногда создатели пакета намеренно приводят исполняемый код программы к виду, сохраняющему ее функциональность, но затрудняющему анализ и понимание алгоритмов ее работы", - говорит эксперт Kaspersky ICS CERT Владимир Дащенко.

Защитить разработчиков от попадания зловредного кода в их продукты могут инструменты, предотвращающие атаки на цепочку поставок ПО и использование методов "безопасной разработки", которые включают в себя комплекс практик, таких как обучение, управление требованиями по безопасности, моделирование угроз, проведение тестирований и т.д. Только в этом случае использование пакетов с открытым исходным кодом становится действительно безопасным и снижает киберриски.

.techТехнологии

новости