«Лаборатория Касперского» представила Kaspersky Open Source Software Threats Data Feed. Этот сервис позволит выявлять закладки в сторонних компонентах и опенсорсном ПО, позволяя компаниям минимизировать риски использования ПО с открытым исходным кодом.
В компании сообщают, что в Kaspersky Open Source Software Threats Data Feed уже содержится информация примерно о 3000 уязвимых и вредоносных пакетов, размещенных в популярных репозиториях. Причем в десятках пакетов были зафиксированы недекларированные возможности, а некоторые из скомпрометированных компонентов были загружены пользователями десятки тысяч раз.
По данным «Лаборатории Касперского», среди уязвимостей, обнаруженных в опенсорсных пакетах, около 35% имеют высокий уровень опасности (High) и около 10% — критический (Critical).
В компании обещают, что с фидом Kaspersky Open Source Software Threats Data Feed разработчики смогут избежать уязвимых и скомпрометированных пакетов. Отдельно подчеркивается, что это касается и пакетов, которые содержат политические лозунги либо изменяют свою функциональность в определенных регионах (например, блокируют функциональность в РФ). Фид предоставляется в формате JSON.
«Использование готовых пакетов при разработке — это общепринятая практика. Она позволяет экономить много времени при создании ПО. Однако важно помнить о возникающих рисках атак на цепочку поставок, которые особенно возросли в 2022 году, когда были обнаружены сотни скомпрометированных и вредоносных пакетов в популярных репозиториях. Чтобы снизить риски подключения уязвимых или даже вредоносных пакетов, мы предлагаем проверять их сторонние компоненты с помощью нашего решения», — комментирует Денис Паринов, эксперт по кибербезопасности «Лаборатории Касперского».