Эксперты компании AppSec Solutions зафиксировали значительное увеличение числа уязвимостей в открытом коде программного обеспечения: с 29066 в 2023 году до 39387 в 2024 году. Этот рост на более чем 10000 уязвимостей составляет 25% и фиксирует рекордное ускорение процесса. Динамика обеспокоила специалистов, так как за предыдущие три года средний рост составлял всего 5000 уязвимостей в год.
За последние десять лет количество ошибок в открытом коде возросло в 4,5 раза, что подчеркивает растущие риски для разработчиков. В коммерческих продуктах заимствованный код может составлять до 90%, что делает угрозы еще более актульными. Российские разработчики, как утверждают эксперты, находятся под особым прицелом хакеров, что делает данное исследование особенно актуальным.
Константин Крючков, директор продукта AppSec.Track, прокомментировал, что современный вредоносный код нередко содержит проверки на географические или языковые настройки. Например, если система настроена на русский язык или находится в определённых временных зонах, зловредный код может запуститься. Также известны случаи, когда злоумышленники публикуют программные пакеты с идентичными названиями к внутренним ресурсам компаний, чтобы обмануть разработчиков.
Рынок киберугроз продолжает меняться: злоумышленники используют методы накрутки рейтингов своих компонентов, что позволяет им маскировать зловредные пакеты под надежные решения. По словам Крючкова, происходит и атака на самих разработчиков пакетов — злоумышленники могут вносить изменения от их имени или обманом представляться активными участниками Open Source сообществ.
Тренд на атаки через цепочку поставок программного обеспечения продолжает расти. Инфраструктура компаний увеличивается, и количество используемых компонентов растет, что ставит под угрозу классические средства безопасности, такие как антивирусы и фаерволы. Более того, злоумышленники применяют автоматизацию для публикации зловредных пакетов, включая обфускацию и динамическое изменение содержания, что ставит безопасность на новый уровень.
Согласно исследованию DevSecOps-вендоров Snyk и SOOS, наблюдается нехватка бдительности ИТ-инженеров. Время выявления уязвимостей в открытом коде сократилось вдвое по сравнению с 2023 годом, однако 5% опрошенных не анализируют зависимости в открытом коде, а 25% делают это лишь частично. Большинство команд демонстрируют признаки истощения в области Application Security и отклоняются от обязательного выполнения требований по безопасной разработке.
Ситуация требует активных действий для защиты российских разработчиков от злоумышленников. Инструменты, предотвращающие атаки на цепочку поставок ПО, могут стать важным шагом к улучшению безопасности.