Согласно новому исследованию, киберпреступники пользуются тем фактом, что все большее число компаний полагаются на репозитории с открытым исходным кодом для разработки своих программных решений.
Согласно новому отчету поставщика услуг по управлению цепочками поставок программного обеспечения Sonatype, за последние три года количество скомпрометированных пакетов, опечаток на этих платформах и подобных кибератак резко возросло.
Используя свой репозиторий брандмауэра, компания обнаружила более 55 000 недавно выпущенных вредоносных пакетов только за последний год и почти 95 000 — за последние три года. Это приводит его к среднему прыжку в 700% за 36 месяцев.
Автоматизация анализа
«Почти все современные компании полагаются на открытый исходный код. Очевидно, что использование репозиториев с открытым исходным кодом в качестве точки входа для вредоносных атак не показывает никаких признаков замедления, что делает раннее обнаружение известных и неизвестных уязвимостей системы безопасности более важным, чем когда-либо», — сказал Брайан Фокс, соучредитель и технический директор Sonatype.
«Остановка вредоносных компонентов до того, как они проникнут в дверь, является важной частью предотвращения рисков и должна быть частью каждого разговора о защите цепочек поставок программного обеспечения».
Сочетая поведенческий анализ и автоматизированное применение политик, компания постоянно обнаруживает и блокирует вредоносные пакеты, а также потенциально уязвимые компоненты. Кроме того, он использует ИИ для оценки каждого недавно выпущенного программного компонента с открытым исходным кодом, чтобы определить, есть ли какие-либо угрозы. Он утверждает, что с внезапным появлением открытого исходного кода ручной анализ практически невозможен.
При этом не имеет значения, использует ли компания вредоносный компонент в конечном продукте. Если он загружается на ваши устройства (открывается в новой вкладке), по словам компании, уже слишком поздно.
«Объем, частота, серьезность и изощренность вредоносных кибератак продолжают расти. Организации не могут и не должны избегать использования открытого исходного кода (открывается в новой вкладке) только для того, чтобы защитить себя, — добавил Фокс. защитить цепочки поставок программного обеспечения.