«Лаборатория Касперского» создала сервис для поиска уязвимостей и программных и «закладок» в приложениях с открытым исходным кодом. В компании отметили, что уже выявили десятки программ с незадекларированными возможностями и уязвимостями, и рассказали, как фирменная разработка поможет использовать такой софт без опасений.
Во время создания программных продуктов разработчики почти в 100% случаях добавляют в проект стороннее ПО, чтобы не тратить время на создание с нуля того, что уже написано и «обкатано» сообществом. Например, софтмейкер может использовать уже написанный другим разработчиком простейший редактор фотографий для интеграции в свой сервис. Количество подобных пакетов от сторонних разработчиков может достигать 10 и более в отдельно взятом продукте.
Сервис Kaspersky Open Source Software Threats Data Feed предназначен для анализа программного обеспечения с открытым исходным кодом. В процессе его создания сотрудники «Лаборатории Касперского» нашли десятки скомпрометированных пакетов, загруженных десятки тысяч раз — доля критических уязвимостей в таких решениях достигает 10%, опасных — 35%.
«Использование готовых пакетов при разработке — это общепринятая практика. Она позволяет экономить много времени при создании ПО. Однако важно помнить о возникающих рисках атак на цепочку поставок, которые особенно возросли в 2022 году, когда были обнаружены сотни скомпрометированных и вредоносных пакетов в популярных репозиториях. Чтобы снизить риски подключения уязвимых или даже вредоносных пакетов, мы предлагаем проверять их сторонние компоненты с помощью нашего решения», — эксперт по кибербезопасности «Лаборатории Касперского» Денис Паринов.
Сервис уже обнаружил около трёх тысяч вредоносных и уязвимых пакетов, которые нередко меняют функциональность в зависимости от региона — например, приложение перестаёт работать в России. Использование Kaspersky Open Source Software Threats Data Feed поможет избежать ситуации, когда единственный пакет с открытым исходном кодом «кладёт» веб-приложение, компрометирует пользователей или разработчика.