Бесплатно Экспресс-аудит сайта:

13.10.2024

Темная сторона open-source: что скрывается за бесплатным кодом?

Число вредоносных пакетов в экосистеме open-source за последний год значительно возросло, о чем свидетельствует новый отчет компании Sonatype. Специалисты отметили, что количество вредоносных компонентов, целенаправленно загруженных в open-source репозитории, увеличилось более чем на 150% по сравнению с предыдущим годом.

Open-source программное обеспечение, которое основывается на прозрачном процессе разработки с возможностью для любого желающего вносить свой вклад, является основой большинства современных цифровых технологий. В отчете Sonatype было проанализировано более 7 миллионов проектов, среди которых обнаружено свыше 500 тысяч с вредоносными компонентами.

Проблемы с уязвимостями в open-source пакетах и трудности, с которыми сталкиваются разработчики в их поддержке, приобрели острую актуальность в последние годы на фоне серии крупных кибератак и выявленных уязвимостей. Одним из примеров стал недавний инцидент, связанный с инструментом для сжатия данных XZ Utils . Хакеры на протяжении нескольких лет пытались внедрить уязвимость в этот инструмент, чтобы она оказалась на многочисленных серверах Linux по всему миру.

Как отмечают специалисты, проблема кроется не только в самих хакерских атаках, но и в подходе издателей и потребителей open-source решений. В стремлении к быстрому выпуску новых версий и функций часто упускается из виду обеспечение безопасности. В результате этого критические уязвимости остаются неустраненными на протяжении длительного времени. Например, известно, что даже спустя годы после обнаружения проблемы в компоненте Log4Shell , около 13% его загрузок все еще содержат уязвимые версии.

В среднем, на устранение критических уязвимостей уходит до 500 дней, что значительно превышает прежние сроки, составлявшие от 200 до 250 дней. Менее серьезные баги требуют еще больше времени для исправления — в ряде случаев этот процесс занимает более 800 дней, хотя ранее такие сроки редко превышали 400 дней.

Эти данные показывают, что цепочка поставок программного обеспечения достигла критической точки, когда ресурсы издателей просто не успевают за растущим числом уязвимостей. К тому же каждая экосистема программирования имеет свои особенности, что усложняет обеспечение защиты. Например, в менеджере пакетов Node.js за последние годы был зафиксирован резкий рост вредоносных пакетов, связанных со спамом и криптовалютами.