Безопасность с открытым исходным кодом действительно не должна быть такой дырявой

Поскольку предприятия все больше полагаются на бесплатное программное обеспечение с с открытым исходным кодом (FOSS), ненужные риски в их положение безопасности принимаются.

Согласно последнему отчету от компании Sonatype, занимающейся безопасностью цепочек поставок программного обеспечения, которая рисует ужасную картину типов программного обеспечения с открытым исходным кодом, на которое полагаются предприятия, возможно, в качестве средства для сокращение расходов на программное обеспечение.

Согласно состоянию компании В Отчете о цепочке поставок программного обеспечения, который публикуется уже восьмой год, разработчики ежемесячно загружают 1,2 млрд уязвимых зависимостей, и 96 % из них имеют неуязвимые альтернативы.

Всплеск атак на цепочку поставок OSS

Атака на репозитории с открытым исходным кодом, которые впоследствии загружаются и интегрируются в корпоративное программное обеспечение, является ярким примером кибератаки на цепочку поставок.

Ежегодно в каждом приложении происходит около 1500 изменений зависимостей, поэтому поддержка экосистем с открытым исходным кодом оказывает сильное давление на разработчиков, и всегда будут совершаться ошибки.

Возможно, в качестве В результате Sonatype сообщает, что этот тип киберактивности пережил массовый всплеск, увеличившись на 633% в годовом исчислении.

Однако компания считает, что решение есть: прежде всего, сведение к минимуму зависимостей и ускорение обновления программного обеспечения на конечные точки. Также рекомендуется повысить осведомленность инженеров об уязвимых зависимостях FOSS.

Сонатайп обнаружила, что более двух третей (68%) уверены, что их приложения не используют уязвимые библиотеки, несмотря на тот факт, что такой же процент корпоративные приложения — 68% — содержат известные уязвимости в своих программных компонентах с открытым исходным кодом.