Эксперты предупреждают о существенном росте количества опасных уязвимостей в программном обеспечении с открытым исходным кодом, который каждый может изучить, изменить и улучшить. Исходный код – это часть софта, в которой изменяют работу ПО или добавляют новые функции.
Исследователи поделились данными о том, что на различных интернет-площадках с ПО на основе открытого исходного кода к октябрю 2023 года было обнаружено более 42 тысяч потенциально опасных уязвимостей. Это на 8% больше, если сравнивать с показателями того же периода 2022 года.
Специалисты проанализировали 20 тысяч различных программных решений. Согласно результатам:
- 29% выявленных уязвимостей представляют ошибки, которые могут позволить обходить системные ограничения безопасности;
- 22% уязвимостей способны вызывать отказ в обслуживании;
- замыкают тройку лидеров уязвимости, позволяющие злоумышленникам запускать произвольный код на целевых устройствах.
Профессионалы кибернетической безопасности настоятельно рекомендуют отечественным компаниям использовать специализированные инструменты безопасности для проверки программного обеспечения на открытом исходном коде на наличие уязвимостей и вредоносных закладок.
Несколько наиболее популярных компьютерных программ, созданных при помощи открытого кода, содержат уязвимости, которые злоумышленники могут использовать для получения доступа к личным данным пользователей. Соответствующие решения предлагаются сейчас как российскими, так и зарубежными вендорами в сфере ИБ.
Главная опасность популярных решений с открытым исходным кодом связана с тем, что разработчики широко применяют их внутри других приложений. Уязвимость в том или ином бесплатном компоненте может привести к серьезным угрозам информационной безопасности по всему миру.
Меры защиты. Регулярно сканируйте свои приложения на известные уязвимости, включая уязвимости в прямых и косвенных зависимостях. Оперативно применяйте доступные исправления. Для оптимизации ресурсов компании патчи нужно ранжировать, опираясь на серьезность ошибки и вероятность эксплуатации в конкретном используемом ПО.