Число кибератак на компоненты с открытым исходным кодом выросло на 430%

Чт 13 Август 2020 14:10

Количество кибератак на компоненты ПО с открытым исходным кодом выросло на 430% в годовом выражении. Об этом сообщается в ежегодном отчете компании Sonatype "Состояние цепочки поставок программного обеспечения" (State of the Software Supply Chain).

Согласно отчету, киберпреступники нацелились на компоненты с открытым исходным кодом, осуществляя атаки на цепочки поставок. Эта тенденция вызывает опасения, поскольку популярность проектов с открытым исходным кодом неустанно растет среди DevOps-специалистов, желающих сократить срок выхода своих продуктов на рынок. Так, в 2020 году прогнозируется 1,5 триллиона запросов на загрузку компонентов во всех основных экосистемах с открытым исходным кодом.

В общей сложности специалисты Sonatype проанализировали 24 тыс. пректов с открытым исходным кодом и 15 тыс. компаний-разработчиков, а также опросили 5,6 тыс. разработчиков ПО.

С июля 2019-го по май 2020 года на компоненты с открытым исходным кодом было зафиксировано 929 атак. Чаще всего злоумышленники атаковали репозитории Node.js (npm) и Python (PyPI), поскольку вредоносный код может быть легко запущен в процессе инсталляции пакета.

Подобный вид атак возможен, поскольку в мире открытого кода труднее отличить хороших участников от плохих, а также из-за взаимосвязанного характера проектов, пояснили специалисты Sonatype. Во втором случае проекты с открытым исходным кодом могут иметь сотни или тысячи зависимостей от других проектов, содержащих известные уязвимости.

Согласно отчету, в 2019 году более 10% загрузок Java OSS по всему миру содержали по крайней мере один уязвимый компонент. В настоящее время 90% компонентов в приложениях являются проектами с открытым исходным кодом, и 11% из них содержат известные уязвимости.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 257 дней 5 часов 59 минут 26 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.