Рост угроз в цепочке поставок программного обеспечения: вызовы и решения
Open SourceКибербезопасностьОтчеты

Рост угроз в цепочке поставок программного обеспечения: вызовы и решения

admin

В условиях стремительного роста использования программного обеспечения с открытым исходным кодом, количество вредоносных программ в этой области увеличилось на 156%. Согласно 10-му ежегодному отчету компании Sonatype о состоянии цепочки поставок программного обеспечения, с 2019 года было выявлено более 704 102 вредоносных пакетов, из которых 512 847 были обнаружены с ноября 2023 года.

SSCR_2024-FINAL-10-10-24Скачать

Масштаб проблемы

В 2024 году использование программного обеспечения с открытым исходным кодом достигло рекордных показателей: число загрузок составило 6,6 триллиона. На JavaScript (npm) пришлось рекордное количество запросов — 4,5 триллиона, что на 70% больше, чем в предыдущем году. Ожидается, что к концу 2024 года число запросов на пакеты Python (PyPI) достигнет 530 миллиардов, что на 87% больше, чем в предыдущем году.

Основные вызовы

Эксперты Sonatype отмечают, что организации продолжают испытывать трудности с эффективным снижением рисков. Несмотря на то, что более 99% пакетов имеют обновленные версии, 80% зависимостей приложений остаются не обновленными более года. В 95% случаев, когда используются уязвимые компоненты, исправленная версия уже существует. Однако устранение уязвимостей занимает более 500 дней, что создает значительные риски для безопасности.

Влияние на безопасность

Рост числа вредоносных пакетов и уязвимостей в программном обеспечении с открытым исходным кодом подчеркивает необходимость более строгого управления зависимостями и использования передовых инструментов для анализа состава программного обеспечения. Традиционные инструменты безопасности часто не способны обнаружить новые атаки, что оставляет разработчиков и автоматизированные среды сборки уязвимыми.

Рекомендации по улучшению безопасности

  1. Проактивное управление зависимостями: Организациям необходимо внедрять практики проактивного управления зависимостями, чтобы минимизировать риски и предотвращать уязвимости до их появления.
  2. Использование современных инструментов: Интеграция инструментов анализа состава программного обеспечения (SCA) в процессы разработки может значительно сократить время на устранение уязвимостей и повысить эффективность работы разработчиков.
  3. Обучение и повышение осведомленности: Обучение сотрудников и повышение осведомленности о рисках, связанных с использованием открытого исходного кода, помогут снизить вероятность использования уязвимых компонентов.

Заключение

Рост использования программного обеспечения с открытым исходным кодом приносит как инновации, так и новые вызовы для безопасности. Организациям необходимо адаптировать свои практики управления безопасностью, чтобы справляться с растущими угрозами и обеспечивать надежность своих программных продуктов. Внедрение проактивных мер и использование передовых инструментов помогут минимизировать риски и защитить цепочку поставок программного обеспечения от киберугроз.

admin
Author: admin

Related Posts