Угрозы открытого кода

Угрозы открытого кода

Теперь уязвимости встречаются не только в компонентах разработки, но и в компонентах искусственного интеллекта и машинного обучения.

Более половины библиотек с открытым кодом, которые используют разработчики программного обеспечения, содержат серьёзные уязвимости. С их помощью злоумышленники могут перехватить данные, ослабить криптографическую защиту, выполнить произвольный код — всё, что называется «взломом» ИT-системы. Масштаб проблемы показало ежегодное исследование AppSec Solutions, проведённое с помощью инструмента AppSec.Track. Если учесть, что, по оценкам экспертов, 90% программного кода разработчики заимствуют из открытых библиотек, масштаб риска трудно переоценить.

Композиционный анализ как инструмент защиты цепочки поставок

Предотвратить атаки на цепочку поставок ПО помогают инструменты композиционного анализа. Они позволяют установить компонентный состав приложения, которое используется в бизнес-процессах.

Компаниям, эксплуатирующим какие-либо ИТ-решения, необходимо понимать, из чего они состоят. Это касается как собственной разработки, так и готовых продуктов, получаемых, например, от подрядчиков. Зная состав ПО, можно проверить его компоненты на безопасность, целостность, наличие вредоносного содержимого, лицензионные ограничения и другие критерии.

Автоматизировать такую проверку позволяют инструменты класса OSA/SCA (Open Source Analysis / Software Composition Analysis), в том числе и наш сканер AppSec.Track. Он позволяет оценить безопасность и качество сторонних компонентов на всех этапах жизненного цикла разработки и эксплуатации ПО, начиная от поиска и загрузки компонентов разработчиком во внутренний контур организации и заканчивая мониторингом релизных версий приложения, где эти компоненты используются. Система интегрируется с популярными системами хранения артефактов — Nexus Repository Manager, JFrog Artifactory, Harbor и любыми git-совместимыми системами контроля исходного кода.

Инструмент работает с собственной базой знаний, курируемой экспертами AppSec Solutions и содержащей информацию об уязвимостях и компонентах. Это позволяет предоставлять полную и достоверную информацию об обнаруженных проблемах, а также рекомендовать безопасную версию пакетов с нарушениями для разработчиков и инженеров информационной безопасности.

В 2025 году в продукте появились важные функции. В частности, была доработана языковая поддержка, и теперь проверка компонентов доступна для языков Objective-C, Swift, Dart и более редких — Perl и R. Был добавлен функционал поиска секретов, которые могли быть оставлены в исходном коде или попасть в итоговую сборку, а также поиска ошибок конфигурации при создании образов Docker. Для инженеров безопасности, сопровождающих систему во время эксплуатации, мы создали новые разделы «Репозитории», «Исключения», «Компоненты» и «Дашборды», позволяющие управлять компонентами и результатами сканирований, а также делать это с помощью метрик. А для компаний, которым по требованиям безопасности ограничен или полностью запрещён доступ к ресурсам в сети Интернет, была выпущена функция развёртывания целиком On-Premise.

В ближайшем релизе AppSec.Track появится поддержка EPSS (Exploit Prediction Scoring System) — метрика для оценки вероятности эксплуатации уязвимости, которая позволит инженерам безопасности определять приоритет задач на исправление уязвимостей. Также появится возможность анализа Docker-образов по слоям для определения причины появления проблемы в компоненте.

Анализ достижимости уязвимого кода

Не каждая найденная уязвимость действительно представляет угрозу для приложения. Часто компонент содержит потенциально опасную функцию, но она не используется в коде или к ней нет доступа извне. Поэтому для точной оценки риска важно понимать, достижим ли уязвимый участок кода в конкретном контексте работы программы.

Анализ достижимости уязвимого кода — технология, которая определяет, может ли уязвимость быть реально эксплуатирована злоумышленником. Такая проверка помогает сократить количество ложноположительных срабатываний и сосредоточиться на тех проблемах, которые действительно требуют исправления.

Сейчас инженеры AppSec.Track разрабатывают модуль для анализа достижимости уязвимого кода, который позволяет автоматически определять, может ли уязвимость быть реально эксплуатирована в данном контексте. Таким образом, модуль значительно сократит объём и ускорит работу ИБ-инженеров по разбору уязвимостей и определению проблемных мест.

Детектирование AI/ML-компонентов

Сегодня технологии искусственного интеллекта становятся неотъемлемой частью большинства цифровых решений — от аналитических сервисов до промышленных систем. Вместе с тем встаёт новая задача для информационной безопасности: управление рисками, связанными с использованием моделей ИИ и компонентов машинного обучения.

У таких компонентов есть особенности: они зависят от качества данных, на которых обучались, могут содержать ошибки в логике, а также не всегда прозрачны с точки зрения лицензий и источников происхождения. Всё это формирует новый класс рисков, связанных не только с безопасностью, но и с доверенностью и устойчивостью цифровых систем.

Чтобы помочь компаниям справиться с этими вызовами, мы разрабатываем функцию распознавания компонентов AI/ML в AppSec.Track и будем работать с ними также, как делаем это для системных пакетов и компонентов языков программирования. У моделей есть свои проблемы, которые связаны как с качеством данных, возвращаемых ими, так и с безопасностью и лицензионной чистотой. Начать управлять связанными рисками — это новый вызов, который встаёт перед командами ИБ. А мы со своей стороны делаем всё, чтобы они могли делать это максимально автоматизированно.

Вывод

Современные цифровые экосистемы становятся всё более зависимыми от открытого кода и компонентов искусственного интеллекта, что делает вопрос их безопасности критически важным. Только комплексный и системный подход позволит организациям сохранить устойчивость перед лицом растущих угроз, где граница между ИТ-уязвимостью и ИИ-риском становится всё менее заметной.

Реклама. ООО «АППСЕК СОЛЮШЕНС», ИНН: 77264355251, Erid: 2VfnxvkABYV