Программные закладки — топ-угроза в OpenSource решениях
Изображение: recraft
Программные закладки остаются главной угрозой, которой сопровождается использование бизнесом OpenSource-решений. По оценкам специалистов “Кросс технолоджис”, более 80% российских компаний по итогам 2025 года использовали как минимум одно OSS-решение в своей инфраструктуре.
Открытое программное обеспечение — это тип ПО, который находится в открытом доступе, свободен для модификации и использования для собственных нужд без дополнительной платы. Эксперты указывают, что популярность таких решений начала расти с начала 2020-х и особо усилилась после 2022 года, когда значительная часть иностранных вендоров покинула российский рынок.
Сокращение ИТ и ИБ-бюджетов, которое имеет место с 2025 года, является отдельным драйвером роста популярности OSS-решений. Компаниям проще создать собственное ПО на основе открытого кода под собственные цели, чем приобретать готовые решения от производителей.
Открытый характер такого ПО создаёт значительную угрозу — недобросовестные разработчики могут внедрять вредоносные компоненты, например, бэкдоры, которые впоследствии могут быть использованы для реализации хакерских сценариев.
По оценкам специалистов “Кросс технолоджис”, количество программных закладок в OpenSource-решениях увеличилось на 50% в 2025 году по сравнению с 2024 годом. Количество подобных уязвимостей в открытом коде растет постоянно и во многом совпадает с ростом спроса на OpenSource-решения.
“Открытое программное обеспечение становится выходом для многих компаний, которые либо не могут себе позволить дорогое ПО от вендоров, либо нуждаются в уникальных решениях, соответствующих особенностям их внутренней инфраструктуры. При этом многие не проводят должных процедур по исследованию кода и выявлению его уязвимостей, что наносит значительный удар по информационной безопасности”, — говорит Василий Коровицын, руководитель направления анализа защищенности “Кросс технолоджис”.
Эксперты интегратора указывают, что компаниям нужно пройти ряд ИБ-процедур перед внедрением решения в информационную инфраструктуру. Во-первых, необходима организация собственных репозиториев, на которых будет происходить проверка всех поступающих обновлений. Использование публичных репозиториев создает крайны высокие риски. Во-вторых, решение должно быть подвергнуто тщательному анализу ИБ, который включает SCA-анализ, статический и динамический анализ кода, подозрительных зависимостей и так далее. Во-третьих, необходима оценка правовых рисков от использования OSS-решений. Например, на ряде объектов КИИ не может быть использовано несертифицированное решение.
Зачастую OpenSource-решения в базовой конфигурации нацелены на удобство использования, а не безопасность. На этапе внедрения необходимо предусмотреть “харденинг”, включающий отключение небезопасных протоколов, разграничение прав доступа, удаление избыточного функционала. После внедрения должен быть проведен пентест системы. Специалисты отмечают, что уверенным в безопасности OpenSource-решений на 100% можно быть крайне редко, поэтому необходимо предусмотреть компенсационные меры, такие как контейнеризация, микросегментация, усиленный мониторинг аномальной активности на узле.
“Любое OSS-решение должно быть в первую очередь совместимо с информационной инфраструктурой, отвечать задачам бизнеса, а его внедрение должно быть оправдано с точки зрения затрат. Открытый код — это не бесплатное решение, оно требует долгой и порой дорогой работы со стороны ИТ и ИБ-специалистов”, — подчеркивает Василий Коровицын.
