27.02.2024  Новости, Безопасность

По оценке экспертов, от 50 до 85% IT-решений в реестре отечественного ПО разработаны с использованием открытого кода. При этом к 2026 году до 90% компаний планируют увеличить объем используемых open-source-библиотек в IT-разработке. C 2022 года использование непроверенного открытого кода из доступных международных библиотек (например, GitHub) в клиентских финтех-, банковских и e-commerce-приложениях несет риски для пользователей и заказчиков IT-разработок. Как пример первого вектора атак — атаки через уязвимость Log4Shell, выявленную в бесплатно распространяемой библиотеке log4j2. Следующий вектор — геополитический, или Protestware, — добавление в открытый код вредоносной функциональности, которая активируется только в российской доменной зоне. Например, популярный пакет es5-ext на GitHub может быть использован для улучшения функциональности и производительности кода на JavaScript. Обычно es5-ext включается в проект через менеджер пакетов NPM (от Node.js) или YARN (от Facebook) и используется в коде через директиву Import или Require(). Российские эксперты выяснили, что пакет определяет тайм-зону, в которой он работает. Как только он понимает, что попал в российский часовой пояс, то выводит слоганы политического характера. Третий вектор атак через open-source — это атаки на цепочку поставок. При использовании ПО клиент может получить обновление или любое ПО от разработчика с включенным в него зловредным ПО или бэкдором. Практика атак через цепочки поставок только ... читать далее.