В текущем 2022 году эксперты обнаружили 88 тыс. вредоносных пакетов с открытым исходным кодом, что намного больше, чем в 2019 году. По словам специалистов из компании по кибербезопасности Sonatype, это указывает на быстрорастущую корпоративную поверхность атаки.
Соответствующие данные взяты из 8-го ежегодного отчета компании Sonatype о состоянии цепочек поставок программного обеспечения, который был сформирован на основе анализа общедоступных и частных данных, включая 131 млрд. загрузок Maven Central и тысячи проектов с открытым исходным кодом.
В представленном отчете компании Sonatype подробно описываются растущие риски для корпоративных систем как от вредоносных пакетов, вставленных в репозиториях злоумышленниками, так и от случайных уязвимостей, которые непреднамеренно загружаются командами DevOps.
Всплеск вредоносной активности в отношении цепочек поставок ПО, как отмечают в компании Sonatype, выступает в качестве свидетельства растущего использования командами DevOps пакетов с открытым исходным кодом для ускорения выхода своих решений на рынок. По оценкам Sonatype, количество запросов с открытым исходным кодом в 2022 году превысит три триллиона.
В Sonatype утверждают, что масштабы использования открытого исходного кода и дополнительная сложность, создаваемая программными зависимостями, могут означать, что разработчики упускают из вида угрозы и уязвимости.
В отчете говорится о том, что среднее Java-приложение теперь содержит 148 зависимостей — на 20 больше, чем в 2021 году. По оценкам Sonatype, средний Java-проект обновляется 10 раз ежегодно, поэтому разработчикам приходится каждый год отслеживать около 1,5 тыс. изменений зависимостей для каждого приложения, над которым они работают.
Несмотря на это, обзор этих сред разработки, судя по всему, недостаточен: на транзитивные зависимости приходится 6 из каждых 7 ошибок, затрагивающих проекты с открытым исходным кодом за 2022 год, утверждается в отчете компании Sonatype.
В общем, 96% загрузок Java с открытым исходным кодом, содержащих известные уязвимости, можно было бы избежать, поскольку была доступна лучшая версия, но по какой-то причине она не использовалась, отмечается в отчете компании Sonatype.
Полная версия отчёта Sonatype (ISC)² здесь.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube | Пульс.
