Рассказывает DevOps ТеДо Максим Балтин.
Сегодня многие корпоративные продукты, даже платные, основаны на Open Source — коде, который публикуется в открытом доступе, его могут развивать все желающие. Принято считать, что сила Open Source — в сплоченном сообществе разработчиков. Над кодом работает «бесконечное» количество энтузиастов: если один пропустит ошибку, ее заметят и исправят другие. Или нет?
Человек как уязвимость
29 марта инженер Microsoft сообщил об уязвимости в коде Linux. Целью хакера, написавшего вредоносный код, был SSH — самый популярный протокол подключения к Linux-серверам. Уязвимость больше месяца оставалась незамеченной. Еще месяц-два — и она вместе с обновлениями отправилась бы на миллионы серверов по всему миру, открывая доступ к этим серверам для хакера.
Почему же «сила сообщества» не сработала, и никто не заметил уязвимость раньше? Потому что ее внедрил не сторонний хакер, а куратор данного кода — проверенный сообществом разработчик.
Изучая хронологию событий, эксперты выяснили, что хакер присоединился к энтузиастам Linux еще в 2022 году. При помощи фейковых аккаунтов в сети он начал «травить» тогдашнего куратора кода, вынудил его оставить свой пост и занял его место. С июля 2023 года он начал готовиться к внедрению своего кода, в феврале провел его в систему и далее оставалось только ждать, когда обновление выпустят на массовую аудиторию.
Последствия
Репутационная угроза для Open Source может оказаться гораздо серьезнее, чем реальные технические последствия. Данный инцидент напомнил, что, несмотря на «силу сообщества», у каждого кода все же есть конкретный владелец, на которого можно надавить, создав угрозу для миллионов пользователей по всему миру. И мы не знаем, сколько подобных атак не удалось предотвратить.
С другой стороны, если бы подобная история произошла у компании, разрабатывающей ПО, уязвимость могли обнаружить уже после ЧП: ведь коммерческие разработчики не предоставляют доступ к исходному коду. В этом смысле «сила сообщества» все же сработала, как предохранитель.
Как минимизировать риски
Таким образом, ни одной технологии нельзя доверять по умолчанию, но современные практики DevOps, позволяют если не нивелировать, то радикально снизить риски. Подробнее об этом читайте в нашей статье на РБК Pro ➡️ https://pro.rbc.ru/demo/6622195d9a79479e6be54034 (по подписке, доступен бесплатный пробный период).
Кроме того, для построения устойчивой ИТ-архитектуры компании привлекают ИТ-консультантов, таких, как ТеДо. О нашей команде: https://tedo.ru/technology?utm_source=dz-td-230424