В условиях стремительного роста использования программного обеспечения с открытым исходным кодом, количество вредоносных программ в этой области увеличилось на 156%. Согласно 10-му ежегодному отчету компании Sonatype о состоянии цепочки поставок программного обеспечения, с 2019 года было выявлено более 704 102 вредоносных пакетов, из которых 512 847 были обнаружены с ноября 2023 года.
Масштаб проблемы
В 2024 году использование программного обеспечения с открытым исходным кодом достигло рекордных показателей: число загрузок составило 6,6 триллиона. На JavaScript (npm) пришлось рекордное количество запросов — 4,5 триллиона, что на 70% больше, чем в предыдущем году. Ожидается, что к концу 2024 года число запросов на пакеты Python (PyPI) достигнет 530 миллиардов, что на 87% больше, чем в предыдущем году.
Основные вызовы
Эксперты Sonatype отмечают, что организации продолжают испытывать трудности с эффективным снижением рисков. Несмотря на то, что более 99% пакетов имеют обновленные версии, 80% зависимостей приложений остаются не обновленными более года. В 95% случаев, когда используются уязвимые компоненты, исправленная версия уже существует. Однако устранение уязвимостей занимает более 500 дней, что создает значительные риски для безопасности.
Влияние на безопасность
Рост числа вредоносных пакетов и уязвимостей в программном обеспечении с открытым исходным кодом подчеркивает необходимость более строгого управления зависимостями и использования передовых инструментов для анализа состава программного обеспечения. Традиционные инструменты безопасности часто не способны обнаружить новые атаки, что оставляет разработчиков и автоматизированные среды сборки уязвимыми.
Рекомендации по улучшению безопасности
- Проактивное управление зависимостями: Организациям необходимо внедрять практики проактивного управления зависимостями, чтобы минимизировать риски и предотвращать уязвимости до их появления.
- Использование современных инструментов: Интеграция инструментов анализа состава программного обеспечения (SCA) в процессы разработки может значительно сократить время на устранение уязвимостей и повысить эффективность работы разработчиков.
- Обучение и повышение осведомленности: Обучение сотрудников и повышение осведомленности о рисках, связанных с использованием открытого исходного кода, помогут снизить вероятность использования уязвимых компонентов.
Заключение
Рост использования программного обеспечения с открытым исходным кодом приносит как инновации, так и новые вызовы для безопасности. Организациям необходимо адаптировать свои практики управления безопасностью, чтобы справляться с растущими угрозами и обеспечивать надежность своих программных продуктов. Внедрение проактивных мер и использование передовых инструментов помогут минимизировать риски и защитить цепочку поставок программного обеспечения от киберугроз.
Author: admin
Related Posts
Обзор состояния рынка труда в сфере ИТ за третий квартал 2024 года
Согласно отчету, уровень вредоносных атак с использованием программ-вымогателей вырос на 68% в первой половине 2024 года
