Lineaje: 70% компонентов с открытым исходным кодом плохо поддерживаются или вовсе не поддерживаются

Изображение: Kaitlyn Baker (unsplash)
Эксперты компании Lineaje заявили в своём новом отчёте, что географическое распределение вклада в разработку ПО с открытым исходным кодом влечёт за собой геополитические риски. Эти риски организациям следует учитывать, особенно в связи с ростом числа атак со стороны APT-группировок и других спонсируемых государствами объединений.
Согласно статистике Lineaje, 34% вклада в разработку программного обеспечения с открытым исходным кодом поступает из США, 13% — из России, а немного меньший процент — из Канады, Великобритании и Китая.
Из вкладов с открытым исходным кодом в США 20% являются анонимными — это более чем в два раза больше, чем у российских коллег, и в три раза больше, чем у китайских участников. Во всём мире 5–8% всех компонентов с открытым исходным кодом любого приложения неизвестны, подделаны или имеют сомнительное происхождение — многие из них вносятся анонимно.
В отчёте Lineaje предполагается, что разработчики добавляют код в проекты, не понимая в полной мере его происхождение и функциональность. Это может привести к появлению скрытых бэкдоров, вредоносного ПО или критических уязвимостей, что создаёт значительные риски.
В документе также отмечено, что, независимо от географического происхождения, среднестатистическое приложение среднего размера демонстрирует несколько тревожных тенденций, которые ведут к критическим уязвимостям.
Открытый исходный код добавляет в 2–9 раз больше кода, чем пишут разработчики компаний. При этом 95% уязвимостей безопасности возникают в зависимостях пакетов с открытым исходным кодом. 51% этих уязвимостей, на всех уровнях серьёзности CVE, не имеют известных исправлений. Кроме того, 70% компонентов с открытым исходным кодом больше не поддерживаются или поддерживаются плохо.
«В условиях нынешней геополитической напряжённости и глобальной зависимости от открытого исходного кода для предприятий крайне важно иметь надёжные инструменты безопасности и обслуживать цепочки поставок программного обеспечения. Это позволит выявлять скрытые пробелы в безопасности и предоставлять комплексное представление о потенциальных уязвимостях в режиме реального времени, обеспечивая при этом соответствие постоянно меняющимся стандартам», — заявил в отчёте Джавед Хасан, генеральный директор Lineaje.
Полная версия отчёта представлена по ссылке.



