Скрытые зависимости, фишинг и сложность моделей машинного обучения могут стать серьёзными угрозами для безопасности открытого ПО в 2025 году.
Открытое ПО широко используется в технологической сфере, и такие инструменты, как анализ состава программного обеспечения, могут выявлять и защищать зависимости. Однако работа с открытым ПО сопряжена с определёнными рисками по сравнению с проприетарным ПО.
Крис Хьюз, главный советник по безопасности в стартапе Endor Labs, специализирующемся на безопасности открытого ПО, рассказал TechRepublic о текущем состоянии безопасности открытого ПО и о том, куда она может пойти в этом году.
«Организации начинают внедрять базовые меры управления, чтобы понимать, что именно они используют в качестве открытого ПО, — сказал Хьюз. — Где оно находится в их корпоративной сети? В каких приложениях оно используется?»
Тенденции в области безопасности открытого ПО на 2025 год
Для своей работы Хьюз определил открытое ПО как программное обеспечение, исходный код которого свободно доступен и может использоваться для создания других проектов, возможно, с некоторыми ограничениями. В прошлом году Гарвардская школа бизнеса подсчитала, что организациям потребуется инвестировать 8,8 триллиона долларов в технологии и трудозатраты, чтобы воссоздать программное обеспечение, используемое в бизнесе, если бы не было открытого ПО.
«По оценкам, 70–90% всех приложений используют открытое ПО, и примерно 90% этих кодовых баз полностью состоят из открытого ПО», — сказал Хьюз.
На 2025 год Хьюз прогнозирует:
- Широкое распространение открытого ПО будет сопровождаться всё более изощрёнными атаками на OSS со стороны злоумышленников.
- Организации продолжат внедрять базовое управление OSS.
- Всё больше компаний будут использовать как открытые, так и коммерческие инструменты для понимания своего потребления OSS.
- Организации будут оценивать риски при использовании OSS.
- Предприятия будут продолжать требовать от поставщиков прозрачности в отношении того, какое OSS они используют в своих продуктах. Однако никаких широкомасштабных мандатов на этот процесс не возникнет.
- ИИ продолжит влиять на безопасность приложений и открытого ПО различными способами, включая использование ИИ для анализа кода и устранения проблем.
- Злоумышленники будут нацеливаться на широко используемые OSS-библиотеки, проекты, модели и многое другое, чтобы запускать атаки на цепочку поставок OSS-сообщества и коммерческих вендоров.
- Управление ИИ-кодами, где организации имеют больше видимости в модели ИИ, станет более распространённым.
- Организации всё больше хотят знать, насколько безопасно их открытое ПО, включая «насколько хорошо оно поддерживается, кто его поддерживает и как быстро они устраняют уязвимости, когда они возникают», — сказал Хьюз.
Он также упомянул атаку в апреле 2024 года, в ходе которой серия попыток фишинга угрожала утилитам с открытым исходным кодом, особенно открывая бэкдор в утилите XZ Utils.
«Это было довольно коварно, потому что экосистема открытого исходного кода в основном поддерживается неоплачиваемыми волонтёрами, которые делают это в свободное время… и часто не получают компенсации, плату и т. д., — сказал Хьюз. — Так что воспользоваться этим было довольно гнусным делом, которое привлекло внимание многих людей».
Как ИИ меняет безопасность открытого ПО?
В октябре 2024 года Open Source Initiative установила определение для открытого исходного ИИ. Согласно инициативе, открытый исходный ИИ имеет четыре ключевых элемента: свобода использования, изучения, модификации и распространения системы для любых целей.
Хьюз сказал, что определение открытого исходного ИИ важно из-за роста платформ распространения, таких как Hugging Face.
«Эти модели ИИ, особенно открытые, широко используются многими организациями и частными лицами по всему миру, — сказал он. — Поэтому мы возвращаемся к вопросу: что именно в этом, кто внёс свой вклад и откуда это? И есть ли уязвимые компоненты?»
Хьюз отметил, что крупные корпорации могут иметь больше шансов открыто разговаривать со своими поставщиками о всей цепочке поставок своего программного обеспечения, чем мелкие компании. Поэтому проблема отсутствия видимости в моделях ИИ, используемых в их программном обеспечении, может экспоненциально возрасти для небольших компаний.
CISA поощряет разработку безопасного ПО с открытым исходным кодом
В марте 2024 года CISA завершила разработку формы самоаттестации о безопасной разработке программного обеспечения, предназначенной для разработчиков программного обеспечения, используемого федеральным правительством США, чтобы подтвердить, что они используют безопасные методы разработки.
Федеральные агентства могут запрашивать и другие формы и аттестации. В коммерческом секторе организации могут включить аналогичные требования в свои процессы закупок. Всё ещё существует элемент доверия, поскольку организации должны быть уверены, что поставщик сдержит своё слово. Но разговор об этом сейчас ведётся чаще, чем в прошлом году, после атак на утилиты с открытым исходным кодом, сказал Хьюз.
Решения для будущего безопасности открытого ПО
По словам Хьюза, выполнение анализа состава программного обеспечения недостаточно для 2025 года. IT-специалисты и специалисты по безопасности должны знать, что по мере усложнения программного обеспечения количество уязвимостей выросло «до такой степени, что это становится налогом для разработчиков, которым даже приходится выяснять, что нужно исправить и в каком порядке приоритетности», — сказал Хьюз.
Такие компании, как Endor Labs, могут предоставить информацию о зависимостях в коде с открытым исходным кодом, включая косвенные или транзитивные зависимости.
«Возможность указывать на такие вещи, как достижимость и возможность эксплуатации… может стать большим преимуществом с точки зрения соответствия требованиям, с точки зрения нагрузки на организацию и вашу команду разработчиков», — сказал он.
Оригинал: What’s Next for Open Source Software Security in 2025?
