«Лаборатория Касперского» представила новый сервис оповещения (фид) Kaspersky Open Source Software Threats Data Feed, который содержит сведения об опасностях компонент с открытыми кодами. С его помощью разработчики смогут избежать уязвимых и скомпрометированных программных компонент. Это в том числе те пакеты, которые содержат политические лозунги, либо изменяют свою функциональность в определённых регионах (например, блокируют функциональность в РФ). Сервис оповещения предоставляется в формате JSON.
Зависимость от библиотек
Разработчики часто используют готовые пакеты с открытым исходным кодом при выполнении своих задач. Это позволяет им фокусироваться на комплексных проектах и индивидуальных требованиях к ПО, экономить время и ресурсы при создании стандартных функций. Существует несколько крупных репозиториев, где специалисты могут найти подходящий под свой проект компонент. Однако в них могут содержаться случайные или намеренные уязвимости, а также вредоносный код. Более того, иногда создатели пакета намеренно приводят исполняемый код программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы и внесение изменений при декомпиляции — это так называемая обфускация. Она затрудняет понимание того, что может делать соответствующий программный модуль.
На данный момент в Kaspersky Open Source Software Threats Data Feed уже содержится информация примерно о 3 тыс. уязвимых и вредоносных пакетов, размещённых в популярных репозиториях. Причём в десятках пакетов были зафиксированы недекларированные возможности, в том числе отображение нежелательной информации политической направленности. Некоторые из скомпрометированных компонентов были загружены пользователями десятки тысяч раз. По данным «Лаборатории Касперского», среди уязвимостей, обнаруженных в пакетах с открытыми кодами, около 35% имеют высокий уровень опасности (High), и около 10% — критический (Critical).
«Использование готовых пакетов при разработке — это общепринятая практика, – пояснил эксперт по кибербезопасности «Лаборатории Касперского» Денис Паринов. – Она позволяет экономить много времени при создании ПО. Однако важно помнить о возникающих рисках атак на цепочку поставок, которые особенно возросли в 2022 году, когда были обнаружены сотни скомпрометированных и вредоносных пакетов в популярных репозиториях. Чтобы снизить риски подключения уязвимых или даже вредоносных пакетов, мы предлагаем проверять их сторонние компоненты с помощью нашего решения».
Открытые, но не безопасные
Следует отметить, что сервис оповещения будет полезен не только для разработчиков ПО, но и для его пользователей. По некоторым оценкам до 80% поставляемого коммерческого ПО содержат те или иные компоненты с открытым исходным кодом, о которых пользователи даже и не догадываются. Поставляемые в составе сервиса предупреждения помогут выявлять подобные компоненты в рамках комплексной системы мониторинга угроз (TI), локализовать их и своевременно обновить до безопасных версий.
