GitHub, принадлежащий корпорации Microsoft, крупнейшая в мире платформа для программного обеспечения с открытым исходным кодом, сообщает, что 17% всех уязвимостей в программном обеспечении были созданы для вредоносных целей.
В своем отчете Octoverse за 2020 год, GitHub сообщил, что почти пятая часть всех ошибок программного обеспечения была намеренно помещена в код злоумышленниками.
Производителей проприетарного программного обеспечения на протяжении многих лет регулярно критиковали за то, что исходный код не был доступен для проверки экспертами вне компании. Открытый исходный код, с другой стороны, считается более прозрачным способом разработки, потому что теоретически его может проверить любой.
В действительности же открытый исходный код часто не проверяется из-за недостатка финансирования и нехватки человеческих ресурсов.
Хорошим примером потенциального воздействия ошибок в открытом исходном коде является Heartbleed, ошибка в OpenSSL, обнаруженная исследователем Google в 2014 году, которая проливает свет на то, насколько плохо финансируются многие проекты программного обеспечения с открытым исходным кодом.
Влияя на основную часть интернет-инфраструктуры, уязвимость Heartbleed побудила Amazon, IBM, Intel, Microsoft, Cisco и VMware вложить деньги в Linux Foundation для формирования Core Infrastructure Initiative (CII).
В течение последних нескольких лет GitHub вкладывал значительные средства в инструменты, помогающие проектам с открытым исходным кодом устранять недостатки безопасности с помощью своего графика зависимостей, функции, которая работает механизмом предупреждений безопасности.
Служба предупреждений безопасности сканирует зависимости программного обеспечения (библиотеки программного обеспечения), используемые в проектах с открытым исходным кодом, и автоматически предупреждает владельцев проектов, если обнаруживает известные уязвимости. Сервис поддерживает проекты, написанные на Java, JavaScript, .NET, Python, Ruby и PHP.
В отчете GitHub Octoverse за 2020 год отмечается, что наиболее частым использованием зависимостей с открытым исходным кодом были JavaScript (94%), Ruby (90%) и .NET (90%).
Как сообщил Чарли Осборн из ZDNet, уязвимости в проектах с открытым исходным кодом остаются незамеченными в среднем в течение четырех лет, прежде чем они станут достоянием общественности. По данным GitHub, на выпуск патча уходит около месяца. Другими словами, несмотря на усилия GitHub по автоматизации исправления ошибок в проектах с открытым исходным кодом, еще есть возможности для улучшения.
GitHub отмечает в своем отчете, что «подавляющее большинство» преднамеренных бэкдоров происходит из экосистемы npm. Каталин Чимпану из ZDNet сообщил на этой неделе, что группе безопасности npm пришлось удалить вредоносную библиотеку JavaScript с веб-сайта npm, которая содержала вредоносные программы для открытия бэкдоров на компьютерах программистов. Использование такого метода для распространения вредоносных программ среди разработчиков имеет смысл, учитывая, что JavaScript - самый популярный язык программирования на GitHub .
GibHub отмечает, что ошибки могут включать в себя «бэкдоры», которые представляют собой уязвимости программного обеспечения, которые намеренно внедряются в программное обеспечение для облегчения эксплуатации, и «бэкдоры», которые представляют собой особый тип бэкдора, который маскируется под удобно эксплуатируемые, но трудно обнаруживаемые ошибки. в отличие от демонстрации явно злонамеренного поведения.
Наиболее явным признаком наличия бэкдора является получение злоумышленником доступа к репозиторию исходного кода пакета, обычно через захват учетной записи, например атака ESLint 2018 года, которая использовала скомпрометированный пакет для кражи учетных данных пользователя реестра пакетов npm, сообщает GitHub.
Последняя линия защиты от попыток внедрения бэкдоров - это тщательная экспертная оценка в процессе разработки, особенно изменений, внесенных новыми коммиттерами (участниками). Многие зрелые проекты проходят тщательную экспертную оценку. Злоумышленники знают об этом, поэтому часто пытаются нанести вредоносную деятельность программному обеспечению в его точках распространения вне контроля версий, или обманом заставляя пользователей захватывать вредоносные версии кода, например, путем опечатки в имени пакета.
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов