Использующие открытое ПО компании бездумно рискуют

Использующие открытое ПО компании бездумно рискуют. Фото: СС0

Отчет State of the Software Supply Chain Report компании Sonatype показал, что разработчики загружают 1,2 миллиарда уязвимых зависимостей каждый месяц, и 96% из этого числа имеют неуязвимые альтернативы.

Атака на репозитории с открытым исходным кодом, которые позже загружаются и интегрируются в корпоративное программное обеспечение, является ярким примером кибератаки на цепочку поставок. 

При примерно 1,5 тыс. изменениях зависимостей в каждом приложении каждый год поддержка экосистем с открытым исходным кодом оказывает большое давление на разработчиков, которые всегда будут совершать ошибки.

Использование изменений зависимостей для киберпреступлений увеличилось на 633% в годовом исчислении. 

В Sonatype также обнаружили, что более двух третей опрошенных ИТ-специалистов (68%) были уверены, что их приложения не используют уязвимые библиотеки, несмотря на тот факт, что такой же процент корпоративных приложений — 68% — содержал известные уязвимости в своих программных компонентах с открытым исходным кодом. 

Более того, ИТ-менеджеры более чем в два раза чаще считали, что их фирмы регулярно решают проблемы с программным обеспечением на этапе разработки, чем их коллеги по ИТ-безопасности. 

Предприятиям необходимо упростить и оптимизировать процесс разработки программного обеспечения с помощью более интеллектуальных инструментов, большей наглядности и лучшей автоматизации, считают в компании.

Атаки на цепочку поставок были одними из самых разрушительных кибер-инцидентов за последние годы, включая инциденты, связанные с уязвимостью log4j и компрометацией SolarWinds. Даже сегодня киберпреступники компрометируют организации всех форм и размеров, используя уязвимость log4j. 

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Фонд «Сколково» и «РТК-Солар» объявили победителей всероссийского конкурса по кибербезопасности.
• Новое предложение Azure для малого бизнеса нацелено на преодоление DDoS-атак.
• Google Looker Studio используется для продвижения вредоносных сайтов.
• Хакеры хранят вредоносное ПО в законных облачных сервисах для обхода защиты.