Перейти к основному разделу

«Лаборатория Касперского» представила первый в России сервис для выявления закладок в ПО с открытым исходным кодом

8 декабря 2022 г.

Он позволит разработчикам более безопасно использовать опенсорсные пакеты

«Лаборатория Касперского» представила новый фид — Kaspersky Open Source Software Threats Data Feed. Это первый подобный сервис в России, он позволит выявлять закладки в сторонних компонентах и ПО с открытым исходным кодом. С этим сервисом компании смогут минимизировать риски использования Open Source — благодаря актуальным данным о пакетах с уязвимостями, вредоносным кодом и недекларированными возможностями.

На данный момент в Kaspersky Open Source Software Threats Data Feed уже содержится информация примерно о трёх тысячах уязвимых и вредоносных пакетов, размещённых в популярных репозиториях. Причём в десятках пакетов были зафиксированы недекларированные возможности, в том числе отображение нежелательной информации политической направленности. Некоторые из скомпрометированных компонентов были загружены пользователями десятки тысяч раз. По данным «Лаборатории Касперского», среди уязвимостей, обнаруженных в Open Source пакетах, около 35% имеют высокий уровень опасности (High) и около 10% — критический (Critical).

Разработчики часто используют готовые пакеты с открытым исходным кодом при выполнении своих задач. Это позволяет им фокусироваться на комплексных проектах и индивидуальных требованиях к ПО, экономить время и ресурсы при создании стандартных функций. Существует несколько крупных репозиториев, где специалисты могут найти подходящий под свой проект компонент. Однако в подобных пакетах могут содержаться случайные или намеренные уязвимости, а также вредоносный код. Более того, иногда создатели пакета намеренно приводят исполняемый код программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы и внесение изменений при декомпиляции.

С потоком данных Kaspersky Open Source Software Threats Data Feed разработчики смогут избежать уязвимых и скомпрометированных пакетов. Это в том числе пакеты, которые содержат политические лозунги либо изменяют свою функциональность в определённых регионах (например, блокируют функциональность в РФ). Фид предоставляется в формате JSON.

«Использование готовых пакетов при разработке — это общепринятая практика. Она позволяет экономить много времени при создании ПО. Однако важно помнить о возникающих рисках атак на цепочку поставок, которые особенно возросли в 2022 году, когда были обнаружены сотни скомпрометированных и вредоносных пакетов в популярных репозиториях. Чтобы снизить риски подключения уязвимых или даже вредоносных пакетов, мы предлагаем проверять их сторонние компоненты с помощью нашего решения», — комментирует Денис Паринов, эксперт по кибербезопасности «Лаборатории Касперского».

«Лаборатория Касперского» представила первый в России сервис для выявления закладок в ПО с открытым исходным кодом

Он позволит разработчикам более безопасно использовать опенсорсные пакеты
Kaspersky logo

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя передовые технологии для защиты конечных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.

Похожие статьи Пресс-релизы