«Лаборатория Касперского» представила новую ленту — ленту данных об угрозах программного обеспечения с открытым исходным кодом. По словам компании, это первый в своем роде сервис в России, он позволит выявлять закладки в сторонних компонентах и ​​ПО с открытым исходным кодом. С помощью этого сервиса компании смогут минимизировать риски, связанные с использованием Open Source — благодаря актуальным данным о пакетах с уязвимостями, злонамеренный код и недекларированные возможности.

Прямо сейчас в Поток данных об угрозах программного обеспечения с открытым исходным кодом «Лаборатории Касперского» уже содержит информацию примерно о трех тысячах уязвимых и вредоносных пакетов, размещенных в популярных репозиториях. Кроме того, в десятках пакетов зафиксирован незадекларированный функционал, в том числе отображение нежелательной политически направленной информации. Некоторые из скомпрометированных компонентов были загружены пользователями десятки тысяч раз. Согласно «Лаборатории Касперского«, среди уязвимостинайденных в пакетах с открытым исходным кодом, около 35% имеют высокий уровень опасности (High), а около 10% — критический (Critical).

Разработчики часто используют готовые пакеты Открытый исходный код при выполнении своих задач. Это позволяет им сосредоточиться на сложных проектах и ​​индивидуальных требованиях к программному обеспечению, экономя время и ресурсы при создании стандартных функций. Есть несколько крупных репозиториев, где специалисты могут найти подходящий компонент для своего проекта. Однако эти пакеты могут случайно или намеренно содержать уязвимости, а также вредоносный код. Также иногда случается так, что создатели пакета намеренно приводят исполняемый код программы в вид, сохраняющий его функциональность, но затрудняющий анализ, понимание алгоритмов работы и внесение изменений при декомпиляции.

С помощью потока данных Kaspersky Open Source Software Threats Data Feed разработчики могут избежать уязвимостей и компромисс пакеты. Сюда входят пакеты, содержащие политические лозунги или изменяющие их функциональность в определенных регионах (например, блокирующие функциональность в РФ). Подача предоставляется в формате JSON.

ЧИТАТЬ   Эксперты предложили создать систему поддержки разработчиков видеоигр в России

«Использование готовых пакетов при разработке является обычной практикой. Это экономит много времени при создании программного обеспечения. Однако важно осознавать связанные с этим риски. атаки в цепочке поставок, особенно в 2022 году, когда в популярных репозиториях были обнаружены сотни скомпрометированных и вредоносных пакетов. Чтобы снизить риск подключения уязвимых или даже вредоносных пакетов, мы предлагаем проверять их сторонние компоненты с помощью нашего решения», — говорится в сообщении. Денис Париновэксперт по кибербезопасности в «Лаборатории Касперского».

Source

От admin