Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Число кибератак на компоненты с открытым исходным кодом выросло на 430% за последний год

14/08/20

it26-1Количество кибератак на компоненты ПО с открытым исходным кодом выросло на 430% в годовом выражении. Об этом сообщается в ежегодном отчете компании Sonatype "Состояние цепочки поставок программного обеспечения" (State of the Software Supply Chain).

Согласно отчету, киберпреступники нацелились на компоненты с открытым исходным кодом, осуществляя атаки на цепочки поставок. Эта тенденция вызывает опасения, поскольку популярность проектов с открытым исходным кодом неустанно растет среди DevOps-специалистов, желающих сократить срок выхода своих продуктов на рынок. Так, в 2020 году прогнозируется 1,5 триллиона запросов на загрузку компонентов во всех основных экосистемах с открытым исходным кодом.

В общей сложности специалисты Sonatype проанализировали 24 тыс. пректов с открытым исходным кодом и 15 тыс. компаний-разработчиков, а также опросили 5,6 тыс. разработчиков ПО.

С июля 2019-го по май 2020 года на компоненты с открытым исходным кодом было зафиксировано 929 атак. Чаще всего злоумышленники атаковали репозитории Node.js (npm) и Python (PyPI), поскольку вредоносный код может быть легко запущен в процессе инсталляции пакета.

Подобный вид атак возможен, поскольку в мире открытого кода труднее отличить хороших участников от плохих, а также из-за взаимосвязанного характера проектов, пояснили специалисты Sonatype. Во втором случае проекты с открытым исходным кодом могут иметь сотни или тысячи зависимостей от других проектов, содержащих известные уязвимости.

Согласно отчету, в 2019 году более 10% загрузок Java OSS по всему миру содержали по крайней мере один уязвимый компонент. В настоящее время 90% компонентов в приложениях являются проектами с открытым исходным кодом, и 11% из них содержат известные уязвимости.

 
Темы:ИсследованиеУгрозыоткрытое ПОSonatype
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...