ООО “Креативная студия АникА”
остались вопросы?
напишите нам!

Программное обеспечение с открытым исходным кодом стало главной целью в растущей волне киберугроз. Поскольку атаки становятся все более изощренными, сообщество разработчиков программного обеспечения с открытым исходным кодом стремится закрыть критические бреши в безопасности и остановить вредоносный код до того, как он распространится.
С открытым исходным кодом, используемым в большинстве коммерческих программ, риски заражения свирепствуют в большинстве отраслей.
Учитывая, что 86% кодовых баз содержат уязвимости, а количество файлов с открытым исходным кодом за четыре года утроилось, современные приложения увеличили количество поверхностей атак без должного контроля.
Отчет TuxCare 2025 Enterprise Linux and Open Source Landscape Report компании TuxCare, занимающейся патчингом и безопасностью Linux, доступный для бесплатной загрузки, подтверждает этот прогноз. В нем были выявлены три существенные тенденции этого года, которые стали тревожным сигналом для экспертов по безопасности и пользователей программного обеспечения на всех платформах.
Директор по доходам TuxCare Майкл Канаван предупредил, что существует явное несоответствие между восприятием уровней уязвимости и реальными угрозами.
За этим 62-страничным отчетом, опубликованным в феврале, последовало еще одно исследование, показывающее, насколько распространен вредоносный код и насколько легко его использовать против любой цели. Также в феврале исследователи из компании по безопасности приложений Apiiro обнаружили и проанализировали тысячи экземпляров вредоносного кода в репозиториях и пакетах программного обеспечения, причем ежедневно появляются новые.
В отчете описывается, как миллионы репозиториев GitHub были клонированы и заражены вредоносными загрузчиками, по словам Матана Гилади, исследователя безопасности в Apiiro. Обфускация является ключом к блокировке обнаружения атак.
Одним из главных откровений в отчете TuxCare является несоответствие между восприятием профессионалов в области безопасности. Существует значительный разрыв между восприятием профессионалов в области безопасности уровней уязвимости и реальным ландшафтом угроз.
Примерно половина респондентов считали, что объемы уязвимостей остались стабильными в 2024 году по сравнению с 2023 годом. Однако данные показывают рост на 25% в целом и ошеломляющий 12-кратный рост уязвимостей, специфичных для Linux. Эта недооценка может негативно повлиять на стратегии безопасности, распределение бюджета и планирование реагирования на инциденты.
Организации должны выйти за рамки реактивного мышления и внедрить непрерывное сканирование уязвимостей, интеграцию разведданных об угрозах и прозрачную отчетность. Вы не можете защитить то, что не понимаете до конца. Данные показывают, что слишком много команд все еще действуют вслепую.
В отчете отмечено значительное падение доверия к безопасности цепочки поставок с открытым исходным кодом — с 23,81% до 12,31%. Это снижение, вероятно, отражает возросшую осведомленность об атаках на цепочки поставок, таких как инцидент с бэкдором XZ, который имел широкое влияние и заставил 70% организаций пересмотреть свои процессы цепочки поставок с открытым исходным кодом.
Доверие к цепочкам поставок с открытым исходным кодом ослабевает, и это справедливо. Организации должны принять установку на нулевой уровень доверия с такими практиками, как обеспечение соблюдения спецификации материалов программного обеспечения (SBOM), регулярные аудиты зависимостей и проверенное происхождение исходного кода.
Проблема не в открытом исходном коде, а в непроверенном и неуправляемом потреблении. Он призвал относиться к безопасности цепочки поставок ПО с той же строгостью, что и к физической инфраструктуре.
Зависимость от полной автоматизации в процессах безопасности снизилась с 14,48% до 2,56%. Эта тенденция свидетельствует о растущем признании необходимости человеческого контроля наряду с автоматизацией для эффективной безопасности.
Человеческая экспертиза имеет решающее значение для определения приоритетов уязвимостей, проверки исправлений и реагирования на инциденты. Автоматизация должна обрабатывать повторяющиеся и масштабируемые задачи, в то время как люди должны обрабатывать неоднозначные и стратегические.
Организации все чаще внедряют ИИ для сокращения расходов (с 35% до 53%), а не в первую очередь для инноваций (уровень которых снизился), что свидетельствует о формировании взгляда на ИИ как на практичный бизнес-инструмент, ориентированный на эффективность.
Поскольку внедрение ИИ переходит от инноваций к экономической эффективности, мы увидим растущий спрос предприятий на легкие, специально разработанные инструменты ИИ с открытым исходным кодом, которые обеспечивают быстрое развертывание и измеримую окупаемость инвестиций.
Этот поворот, вероятно, также будет способствовать более целенаправленному вкладу в проекты, которые оптимизируют вычислительные ресурсы, оптимизируют рабочие процессы и упрощают интеграцию в существующие корпоративные стеки.
До сих пор приходилось платить значительные расходы на защиту от вредоносного кода, при этом организации часто инвестировали сотни тысяч долларов в год. Apiiro надеется, что два ее решения, доступные на Github, изменят этот сценарий.
Первый, Semgrep rules, обнаруживает динамическое выполнение кода и шаблоны обфускации, обнаруженные в большинстве инцидентов с вредоносным кодом. Он включает только правила с низкими показателями ложных срабатываний и сильной корреляцией с вредоносным кодом. По словам Гилади, этот набор правил интегрируется с любым конвейером CI/CD, позволяя обнаруживать на любом этапе.
Второй, Prevent, позволяет осуществлять мониторинг pull-запросов в реальном времени, применять политики и запускать рабочие процессы. Этот инструмент работает совместно с Semgrep.
Существующие рабочие процессы не обеспечивают никакого покрытия или обеспечивают минимальное покрытие для этих шаблонов, а те, которые обеспечивают, выдают огромное количество ложных срабатываний.
Инструменты бинарного анализа обнаруживают вредоносное ПО в скомпилированном коде, а инструменты статического анализа сканируют на наличие уязвимостей. Однако он не обнаруживает ни вредоносный код, добавленный в исходный код, ни его жизненный цикл.
Ближайшими к ним являются сканеры вредоносного кода с открытым исходным кодом, которые могут помочь исследователям, но непрактичны для организаций из-за высокого процента ложных срабатываний и ограниченного охвата.
Сокращение ложных срабатываний при обнаружении угроз
Исследование показало, что выявленные антишаблоны редко встречаются в безвредном коде. Однако также обнаружили некоторые потенциальные сценарии, в которых легитимный код может демонстрировать эти шаблоны.
Большинство ложных срабатываний возникают из-за обнаружения закодированных данных. Оба являются излюбленными темами злоумышленников и темой с существенным недостатком осведомленности.
Хотя общепризнано, что код должен быть читаемым, а закодированные данные — нечитаемыми, многие разработчики полагаются на устаревшие практики. Как правило, соблюдение установленных стандартов кодирования, таких как рекомендации Google/Microsoft, исключает ложные срабатывания.
остались вопросы?
напишите нам!