Дмитрий Смирнов: тема обеспечения безопасности Open Source компонентов как никогда актуальна
Изображение: Crew (unsplash)
Дмитрий Смирнов, начальник отдела информационной безопасности NGENIX, рассказал во время общения с журналистами издания CISOCLUB, что на текущий момент тема обеспечения безопасности Open Source компонентов стала как никогда актуальна.
«Основные угрозы безопасности, связанные с использованием open source компонентов, вызваны тем, что пользователи этих решений не могут контролировать их исходный код и изменения в нем. Необходимо оценивать потенциальные риски использования конкретного компонента. Среди этих рисков может быть наличие вредоносного кода, уязвимостей в компоненте или в его зависимостях (прямых или косвенных), а также изменение типа лицензии», — заявил эксперт.
По словам специалиста, если актуальны (а они актуальны) риски по наличию уязвимостей или зловредного кода непосредственно в open source компоненте, рекомендуем использовать статический анализатор кода. Он проверяет код программы без ее фактического выполнения и помогает выявить потенциальные ошибки, несоответствия стандартам кодирования, уязвимости безопасности и другие проблемы.
«Также важно обратить внимание на прямые и косвенные зависимости open source компонента. В зависимостях по умолчанию есть риски, поэтому стоит проводить композиционный анализ —Software Composition Analysis. SCA инструменты помогают найти уязвимости в зависимостях open source компонента, включая прямые зависимости и зависимости зависимостей (косвенные). Отдельно стоит рассмотреть риски с лицензиями open source компонентов — стоит отслеживать всё, что вы используете у себя на проекте, потому что некоторые лицензии требуют от вас раскрыть код проекта. Для отслеживания типов лицензий в используемых компонентах также помогут композиционные анализаторы.
Но все же сейчас основной вызов в сфере безопасности open source компонентов — намеренное внедрение разработчиками вредоносного кода в новые версии open source решений. Этот вид угрозы становится все более сложным для выявления, потому что вредоносный код может быть хорошо скрыт. Критически важно не обновлять бездумно все компоненты, которые вы используете, а тщательно тестировать их новые версии на отдельном тестовом окружении и уже потом обновлять их в продуктивной среде», — уточнил начальник отдела информационной безопасности NGENIX.
