Рост открытого исходного кода вредоносных программ составил 156%

Image from Freepik

Рост открытого исходного кода вредоносных программ составил 156%

Время для прочтения: 2 мин.

Торопитесь? Вот краткий обзор!

  • Количество открытого исходного кода для вредоносных программ увеличилось на 156% за последний год.
  • 80% зависимостей приложений остаются необновленными более года.
  • Проекты с платной поддержкой устраняют уязвимости на 45% быстрее, чем другие.

Sonatype объявила в четверг о выходе своего 10-го ежегодного отчета о состоянии цепочек поставок программного обеспечения, который показывает потрясающее увеличение в 156% открытого исходного кода-вредоноса за прошлый год, а также рекордное число скачиваний открытого исходного кода — 6,6 триллиона раз.

Эти данные подчеркивают растущие риски, связанные с цепочками поставок программного обеспечения, которые становятся все более уязвимыми по мере ускорения потребления открытого исходного кода.

Отчет, основанный на данных более чем из 7 миллионов открытых исходных проектов, подчеркивает замечательное увеличение на 80% запросов пакетов Python и рост загрузок JavaScript на 70%, что указывает на значительный всплеск потребления программного обеспечения.

Однако, этот всплеск сопровождается тревожной пролиферацией вредоносных пакетов, с 704,102 идентифицированных с 2019 года. Заметно, что несколько критических уязвимостей заняли более 500 дней для устранения в 2024 году, что открывает объем задач, стоящих перед сопровождающими.

Потребительская безмятежность только усугубляет эту проблему; несмотря на то, что 99% пакетов имеют доступные обновленные версии, 80% зависимостей приложений остаются необновленными более года. Тревожно, что когда уязвимые компоненты обнаружены, 95% времени уже существует исправленная версия.

Для борьбы с этими растущими угрозами, Sonatype призывает увеличить инвестиции в открытые исходные проекты.

Отчет показывает, что открытые проекты с платной поддержкой почти в три раза чаще имеют всесторонние политики безопасности. Более того, компоненты с платной поддержкой устраняют выявленные уязвимости на 45% быстрее и в целом имеют вдвое меньше уязвимостей.

Отчет также указывает на появление новых регулятивных мер, таких как Директива о сетевых и информационных системах (NIS2) в ЕС, которые стимулируют принятие Постановления о программном обеспечении (SBOM).

«За последнее десятилетие мы наблюдаем увеличение числа и сложности атак на цепочку поставок программного обеспечения, особенно с появлением открытого исходного кода вредоносных программ», — сказал Брайан Фокс, технический директор и сооснователь компании Sonatype.

«Чтобы обеспечить жизнеспособную и безопасную экосистему открытого исходного кода на следующее десятилетие, мы должны создать основу проактивной безопасности, при этом осторожно относясь к вредоносным программам с открытым исходным кодом, уменьшая безразличие потребителей и обеспечивая всеобъемлющее управление зависимостями», — добавил он.

Эти проблемы в цепочке поставок программного обеспечения отражают более широкую тенденцию в области кибербезопасности. Новый отчет подчеркивает, что 66% профессионалов в области кибербезопасности считают свою работу более стрессовой чем пять лет назад, в основном из-за усложнения ландшафта угроз, недостаточных бюджетов и недостаточно подготовленного персонала.

Понравилась статья? Поставьте оценку!
Ужасно Удовлетворительно Хорошо Очень хорошо! Превосходно!

Мы рады, что вам понравилась наша статья!

Дорогой читатель, не могли бы вы оставить отзыв о нас на сайте Trustpilot? Это не займет у вас много времени, но очень важно для нас. Спасибо, наш замечательный читатель!

Оценить нас на Trustpilot
5.00 Проголосовало 1 пользователей
Заголовок
Комментарий
Спасибо за ваш отзыв
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Оставьте комментарий

Loader
Loader Показать больше...