Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Число кибератак на компоненты с открытым исходным кодом выросло на 430% за последний год

14/08/20

it26-1Количество кибератак на компоненты ПО с открытым исходным кодом выросло на 430% в годовом выражении. Об этом сообщается в ежегодном отчете компании Sonatype "Состояние цепочки поставок программного обеспечения" (State of the Software Supply Chain).

Согласно отчету, киберпреступники нацелились на компоненты с открытым исходным кодом, осуществляя атаки на цепочки поставок. Эта тенденция вызывает опасения, поскольку популярность проектов с открытым исходным кодом неустанно растет среди DevOps-специалистов, желающих сократить срок выхода своих продуктов на рынок. Так, в 2020 году прогнозируется 1,5 триллиона запросов на загрузку компонентов во всех основных экосистемах с открытым исходным кодом.

В общей сложности специалисты Sonatype проанализировали 24 тыс. пректов с открытым исходным кодом и 15 тыс. компаний-разработчиков, а также опросили 5,6 тыс. разработчиков ПО.

С июля 2019-го по май 2020 года на компоненты с открытым исходным кодом было зафиксировано 929 атак. Чаще всего злоумышленники атаковали репозитории Node.js (npm) и Python (PyPI), поскольку вредоносный код может быть легко запущен в процессе инсталляции пакета.

Подобный вид атак возможен, поскольку в мире открытого кода труднее отличить хороших участников от плохих, а также из-за взаимосвязанного характера проектов, пояснили специалисты Sonatype. Во втором случае проекты с открытым исходным кодом могут иметь сотни или тысячи зависимостей от других проектов, содержащих известные уязвимости.

Согласно отчету, в 2019 году более 10% загрузок Java OSS по всему миру содержали по крайней мере один уязвимый компонент. В настоящее время 90% компонентов в приложениях являются проектами с открытым исходным кодом, и 11% из них содержат известные уязвимости.

 
Темы:ИсследованиеУгрозыоткрытое ПОSonatype
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...