Рост открытого исходного кода вредоносных программ составил 156%

Sonatype объявила в четверг о выходе своего 10-го ежегодного отчета о состоянии цепочек поставок программного обеспечения, который показывает потрясающее увеличение в 156% открытого исходного кода-вредоноса за прошлый год, а также рекордное число скачиваний открытого исходного кода — 6,6 триллиона раз.

Эти данные подчеркивают растущие риски, связанные с цепочками поставок программного обеспечения, которые становятся все более уязвимыми по мере ускорения потребления открытого исходного кода.

Отчет, основанный на данных более чем из 7 миллионов открытых исходных проектов, подчеркивает замечательное увеличение на 80% запросов пакетов Python и рост загрузок JavaScript на 70%, что указывает на значительный всплеск потребления программного обеспечения.

Однако, этот всплеск сопровождается тревожной пролиферацией вредоносных пакетов, с 704,102 идентифицированных с 2019 года. Заметно, что несколько критических уязвимостей заняли более 500 дней для устранения в 2024 году, что открывает объем задач, стоящих перед сопровождающими.

Потребительская безмятежность только усугубляет эту проблему; несмотря на то, что 99% пакетов имеют доступные обновленные версии, 80% зависимостей приложений остаются необновленными более года. Тревожно, что когда уязвимые компоненты обнаружены, 95% времени уже существует исправленная версия.

Для борьбы с этими растущими угрозами, Sonatype призывает увеличить инвестиции в открытые исходные проекты.

Отчет показывает, что открытые проекты с платной поддержкой почти в три раза чаще имеют всесторонние политики безопасности. Более того, компоненты с платной поддержкой устраняют выявленные уязвимости на 45% быстрее и в целом имеют вдвое меньше уязвимостей.

Отчет также указывает на появление новых регулятивных мер, таких как Директива о сетевых и информационных системах (NIS2) в ЕС, которые стимулируют принятие Постановления о программном обеспечении (SBOM).

«За последнее десятилетие мы наблюдаем увеличение числа и сложности атак на цепочку поставок программного обеспечения, особенно с появлением открытого исходного кода вредоносных программ», — сказал Брайан Фокс, технический директор и сооснователь компании Sonatype.

«Чтобы обеспечить жизнеспособную и безопасную экосистему открытого исходного кода на следующее десятилетие, мы должны создать основу проактивной безопасности, при этом осторожно относясь к вредоносным программам с открытым исходным кодом, уменьшая безразличие потребителей и обеспечивая всеобъемлющее управление зависимостями», — добавил он.

Эти проблемы в цепочке поставок программного обеспечения отражают более широкую тенденцию в области кибербезопасности. Новый отчет подчеркивает, что 66% профессионалов в области кибербезопасности считают свою работу более стрессовой чем пять лет назад, в основном из-за усложнения ландшафта угроз, недостаточных бюджетов и недостаточно подготовленного персонала.