Половина библиотек с открытым кодом для разработки ПО содержит уязвимости
Изображение: Kenny Eliason (unsplash)
Около 50% широко используемых библиотек с открытым кодом, применяемых для разработки программного обеспечения, имеют уязвимости. Об этом сообщили эксперты из AppSec Solutions, основываясь на результатах анализа открытых данных. Такие уязвимости могут стать причиной утечки конфиденциальной информации компаний и пользователей, повлиять на работоспособность внутренних систем либо привести к внедрению вредоносного программного обеспечения в инфраструктуру.
Специалисты AppSec Solutions установили, что каждая вторая библиотека для разработки ПО с открытым исходным кодом в одной из своих версий содержит уязвимости. Большинство таких библиотек создаются независимыми разработчиками или небольшими командами, у которых зачастую отсутствуют ресурсы для регулярной проверки безопасности или достаточная квалификация в сфере информационной защиты. Это объяснил изданию «Известия» Олег Уланов, представляющий направление анализа защищённости компании Infosecurity (ГК Softline).
Евгений Янов, руководитель департамента аудита и консалтинга компании F.A.C.C.T., подчеркнул, что открытые библиотеки нередко становятся источником риска из-за доступности их кода. Злоумышленники могут изучать такие программы, выявлять их слабые места и использовать их для реализации атак. Это создаёт серьёзную угрозу как для обычных пользователей, так и для разработчиков, использующих подобные инструменты.
Для конечных пользователей опасность заключается в том, что уязвимости могут применяться для кражи персональных данных, денежных средств или заражения устройств вредоносными программами. Например, если приложение на смартфоне основано на уязвимой библиотеке, это позволяет злоумышленникам получить доступ к данным владельца устройства.
Разработчики, использующие библиотеки с открытым кодом, сталкиваются с ещё более серьёзными угрозами. Как отметил Олег Уланов, через них хакеры могут получить доступ к корпоративной инфраструктуре, что грозит полной компрометацией данных, нарушением рабочих процессов и даже риском ликвидации бизнеса. Кроме того, использование уязвимостей наносит значительный ущерб репутации компании, что неизбежно отражается на её финансовой стабильности.
Антон Кутепов, руководитель направления развития сообществ ИБ компании Positive Technologies, уточнил, что последствия эксплуатации уязвимостей могут варьироваться от минимальных до катастрофических, включая утечку данных. Он также добавил, что для разработчиков, работающих с открытыми библиотеками, репутационные риски остаются одним из ключевых факторов. В случае выявления уязвимости, по его словам, крайне важно как можно быстрее обновить используемую версию библиотеки, чтобы минимизировать возможные последствия.
