Киберпреступники нацелились на компоненты с открытым исходным кодом в рамках атак на цепочки поставок.
Количество кибератак на компоненты ПО с открытым исходным кодом выросло на 430% в годовом выражении. Об этом сообщается в ежегодном отчете компании Sonatype “Состояние цепочки поставок программного обеспечения” (State of the Software Supply Chain).
Согласно отчету, киберпреступники нацелились на компоненты с открытым исходным кодом, осуществляя атаки на цепочки поставок. Эта тенденция вызывает опасения, поскольку популярность проектов с открытым исходным кодом неустанно растет среди DevOps-специалистов, желающих сократить срок выхода своих продуктов на рынок. Так, в 2020 году прогнозируется 1,5 триллиона запросов на загрузку компонентов во всех основных экосистемах с открытым исходным кодом.
В общей сложности специалисты Sonatype проанализировали 24 тыс. пректов с открытым исходным кодом и 15 тыс. компаний-разработчиков, а также опросили 5,6 тыс. разработчиков ПО.
С июля 2019-го по май 2020 года на компоненты с открытым исходным кодом было зафиксировано 929 атак. Чаще всего злоумышленники атаковали репозитории Node.js (npm) и Python (PyPI), поскольку вредоносный код может быть легко запущен в процессе инсталляции пакета.
Подобный вид атак возможен, поскольку в мире открытого кода труднее отличить хороших участников от плохих, а также из-за взаимосвязанного характера проектов, пояснили специалисты Sonatype. Во втором случае проекты с открытым исходным кодом могут иметь сотни или тысячи зависимостей от других проектов, содержащих известные уязвимости.
Согласно отчету, в 2019 году более 10% загрузок Java OSS по всему миру содержали по крайней мере один уязвимый компонент. В настоящее время 90% компонентов в приложениях являются проектами с открытым исходным кодом, и 11% из них содержат известные уязвимости.
