В прошлом году наблюдался рост на 430% числа кибератак следующего поколения, направленных на активное проникновение в цепочки поставок программного обеспечения с открытым исходным кодом, согласно State of the Software Supply Chain report за 2020 год. За последние 12 месяцев было зафиксировано 929 атак на цепочки поставок программного обеспечения нового поколения. Для сравнения, в период с февраля 2015 года по июнь 2019 года было зафиксировано 216 таких нападений.
Атаки на цепочки поставок программного обеспечения следующего поколения включают преднамеренное нацеливание и компрометацию «восходящих» проектов с открытым исходным кодом, чтобы злоумышленники могли затем использовать уязвимости, когда они неизбежно текут «вниз по течению», согласно Sonatype.
Эти типы атак включают Octopus Scanner, который затронул 26 проектов с открытым исходным кодом на GitHub и нацелился на инструменты, используемые разработчиками для построения своего кода; и electron-native-notify, который сосредоточился на получении вредоносного пакета в цепочку сборки.
В настоящее время наиболее распространенным типом атаки является Typosquatting, косвенный вектор атаки, который охотится на разработчиков, делающих невинные опечатки при поиске популярных компонентов. Если разработчики случайно вводят неправильное имя, они могут случайно установить вредоносный компонент с таким же именем. Другой распространенной атакой является внедрение вредоносного кода, которое осуществляется с помощью различных средств, включая кражу учетных данных у сопровождающего проекта. Согласно докладу, эти атаки следующего поколения возможны по трем основным причинам.
Одна из них заключается в том, что проекты с открытым исходным кодом опираются на вклады тысяч добровольных разработчиков, что затрудняет различие между членами сообщества с хорошими или плохими намерениями.
Во-вторых, проекты включают до тысячи зависимостей, которые могут содержать известные уязвимости. Наконец, этос открытого исходного кода построен на «общем доверии», которое может создать благоприятную среду для охоты на других пользователей, говорится в докладе.
С другой стороны, атаки на устаревшие цепочки поставок программного обеспечения включают в себя ожидание появления новых уязвимостей нулевого дня, которые будут публично раскрыты, а затем использованы в посторонних интересах, прежде чем их можно будет исправить. Исследование показало, что 51% организаций требуют больше недели для устранения новых уязвимостей нулевого дня. В отчете было обнаружено, что для устранения этих проблем команды, которые больше инвестируют в возможности автоматизации анализа состава программного обеспечения (SCA) с открытым исходным кодом, могут справиться с этими проблемами быстрее.
Высокопроизводительные команды разработчиков в 26 раз быстрее обнаруживают и устраняют уязвимости с открытым исходным кодом, а также внедряют изменения в код в 15 раз чаще, чем их коллеги. Они также на 59% чаще используют автоматизированный анализ состава программного обеспечения (SCA) и почти в 5 раз чаще успешно обновляют зависимости и исправляют уязвимости без поломок.
По материалам SD Time