Программное обеспечение с открытым исходным кодом стало главной целью в растущей волне киберугроз. Поскольку атаки становятся все более изощренными, сообщество разработчиков программного обеспечения с открытым исходным кодом стремится закрыть критические бреши в безопасности и остановить вредоносный код до того, как он распространится.

С открытым исходным кодом, используемым в большинстве коммерческих программ, риски заражения свирепствуют в большинстве отраслей.

Учитывая, что 86% кодовых баз содержат уязвимости, а количество файлов с открытым исходным кодом за четыре года утроилось, современные приложения увеличили количество поверхностей атак без должного контроля.

Усилия по борьбе с всплеском угроз с открытым исходным кодом

Отчет TuxCare 2025 Enterprise Linux and Open Source Landscape Report компании TuxCare, занимающейся патчингом и безопасностью Linux, доступный для бесплатной загрузки, подтверждает этот прогноз. В нем были выявлены три существенные тенденции этого года, которые стали тревожным сигналом для экспертов по безопасности и пользователей программного обеспечения на всех платформах.

Директор по доходам TuxCare Майкл Канаван предупредил, что существует явное несоответствие между восприятием уровней уязвимости и реальными угрозами.

За этим 62-страничным отчетом, опубликованным в феврале, последовало еще одно исследование, показывающее, насколько распространен вредоносный код и насколько легко его использовать против любой цели. Также в феврале исследователи из компании по безопасности приложений Apiiro обнаружили и проанализировали тысячи экземпляров вредоносного кода в репозиториях и пакетах программного обеспечения, причем ежедневно появляются новые.

В отчете описывается, как миллионы репозиториев GitHub были клонированы и заражены вредоносными загрузчиками, по словам Матана Гилади, исследователя безопасности в Apiiro. Обфускация является ключом к блокировке обнаружения атак.

Пробелы в восприятии подрывают безопасность Linux

Одним из главных откровений в отчете TuxCare является несоответствие между восприятием профессионалов в области безопасности. Существует значительный разрыв между восприятием профессионалов в области безопасности уровней уязвимости и реальным ландшафтом угроз.

Примерно половина респондентов считали, что объемы уязвимостей остались стабильными в 2024 году по сравнению с 2023 годом. Однако данные показывают рост на 25% в целом и ошеломляющий 12-кратный рост уязвимостей, специфичных для Linux. Эта недооценка может негативно повлиять на стратегии безопасности, распределение бюджета и планирование реагирования на инциденты.

Организации должны выйти за рамки реактивного мышления и внедрить непрерывное сканирование уязвимостей, интеграцию разведданных об угрозах и прозрачную отчетность. Вы не можете защитить то, что не понимаете до конца. Данные показывают, что слишком много команд все еще действуют вслепую.

В отчете отмечено значительное падение доверия к безопасности цепочки поставок с открытым исходным кодом — с 23,81% до 12,31%. Это снижение, вероятно, отражает возросшую осведомленность об атаках на цепочки поставок, таких как инцидент с бэкдором XZ, который имел широкое влияние и заставил 70% организаций пересмотреть свои процессы цепочки поставок с открытым исходным кодом.

Доверие к цепочкам поставок с открытым исходным кодом ослабевает, и это справедливо. Организации должны принять установку на нулевой уровень доверия с такими практиками, как обеспечение соблюдения спецификации материалов программного обеспечения (SBOM), регулярные аудиты зависимостей и проверенное происхождение исходного кода.

Проблема не в открытом исходном коде, а в непроверенном и неуправляемом потреблении. Он призвал относиться к безопасности цепочки поставок ПО с той же строгостью, что и к физической инфраструктуре.

Зависимость от полной автоматизации в процессах безопасности снизилась с 14,48% до 2,56%. Эта тенденция свидетельствует о растущем признании необходимости человеческого контроля наряду с автоматизацией для эффективной безопасности.

Человеческая экспертиза имеет решающее значение для определения приоритетов уязвимостей, проверки исправлений и реагирования на инциденты. Автоматизация должна обрабатывать повторяющиеся и масштабируемые задачи, в то время как люди должны обрабатывать неоднозначные и стратегические.

Организации все чаще внедряют ИИ для сокращения расходов (с 35% до 53%), а не в первую очередь для инноваций (уровень которых снизился), что свидетельствует о формировании взгляда на ИИ как на практичный бизнес-инструмент, ориентированный на эффективность.

Поскольку внедрение ИИ переходит от инноваций к экономической эффективности, мы увидим растущий спрос предприятий на легкие, специально разработанные инструменты ИИ с открытым исходным кодом, которые обеспечивают быстрое развертывание и измеримую окупаемость инвестиций.

Этот поворот, вероятно, также будет способствовать более целенаправленному вкладу в проекты, которые оптимизируют вычислительные ресурсы, оптимизируют рабочие процессы и упрощают интеграцию в существующие корпоративные стеки.

Новые инструменты направлены на раннее обнаружение вредоносного кода

До сих пор приходилось платить значительные расходы на защиту от вредоносного кода, при этом организации часто инвестировали сотни тысяч долларов в год. Apiiro надеется, что два ее решения, доступные на Github, изменят этот сценарий.

Первый, Semgrep rules, обнаруживает динамическое выполнение кода и шаблоны обфускации, обнаруженные в большинстве инцидентов с вредоносным кодом. Он включает только правила с низкими показателями ложных срабатываний и сильной корреляцией с вредоносным кодом. По словам Гилади, этот набор правил интегрируется с любым конвейером CI/CD, позволяя обнаруживать на любом этапе.

Второй, Prevent, позволяет осуществлять мониторинг pull-запросов в реальном времени, применять политики и запускать рабочие процессы. Этот инструмент работает совместно с Semgrep.

Существующие рабочие процессы не обеспечивают никакого покрытия или обеспечивают минимальное покрытие для этих шаблонов, а те, которые обеспечивают, выдают огромное количество ложных срабатываний.

Инструменты бинарного анализа обнаруживают вредоносное ПО в скомпилированном коде, а инструменты статического анализа сканируют на наличие уязвимостей. Однако он не обнаруживает ни вредоносный код, добавленный в исходный код, ни его жизненный цикл.

Ближайшими к ним являются сканеры вредоносного кода с открытым исходным кодом, которые могут помочь исследователям, но непрактичны для организаций из-за высокого процента ложных срабатываний и ограниченного охвата.

Сокращение ложных срабатываний при обнаружении угроз
Исследование показало, что выявленные антишаблоны редко встречаются в безвредном коде. Однако также обнаружили некоторые потенциальные сценарии, в которых легитимный код может демонстрировать эти шаблоны.

Большинство ложных срабатываний возникают из-за обнаружения закодированных данных. Оба являются излюбленными темами злоумышленников и темой с существенным недостатком осведомленности.

Хотя общепризнано, что код должен быть читаемым, а закодированные данные — нечитаемыми, многие разработчики полагаются на устаревшие практики. Как правило, соблюдение установленных стандартов кодирования, таких как рекомендации Google/Microsoft, исключает ложные срабатывания.