Sonatype: количество вредоносных программ с открытым исходным кодом увеличилось на 156%

В соответствии с результатами нового исследования Sonatype, на фоне стремительного роста интереса к использованию программного обеспечения с открытым исходным кодом количество вредоносных программ с открытым исходным кодом увеличилось на 156%. Согласно 10-му ежегодному отчёту компании о состоянии цепочки поставок программного обеспечения, с 2019 года было выявлено более 704 102 вредоносных пакетов, из которых 512 847 были обнаружены с ноября 2023 года.

По данным Sonatype, 2024 год стал рекордным по использованию программного обеспечения с открытым исходным кодом: число загрузок достигло 6,6 триллиона. В 2024 году на JavaScript (npm) пришлось рекордное количество запросов — 4,5 триллиона, что на 70% больше, чем в предыдущем году.

Ожидается, что к концу 2024 года число запросов на пакеты Python (PyPI), развивающееся благодаря внедрению искусственного интеллекта и облачных технологий, достигнет 530 миллиардов, что на 87% больше, чем в предыдущем году. Npm — это менеджер пакетов для языка программирования JavaScript, а PyPI — менеджер пакетов для Python.

Эксперты Sonatype заявили, что организации продолжают испытывать трудности с эффективным снижением рисков. Хотя основное внимание Sonatype уделяет росту числа заражённых проектов с открытым исходным кодом, в отчёте отмечается, что всё программное обеспечение — с открытым исходным кодом или коммерческое — в конечном итоге будет содержать ошибки, которые перерастут в уязвимости. Несмотря на то, что более 99% пакетов имеют обновлённые версии, 80% зависимостей приложений остаются не обновлёнными более года.

Кроме того, в 95% случаев, когда используются уязвимые компоненты, исправленная версия уже существует. Также было отмечено, что издатели с трудом справляются с устранением CVE, поскольку на устранение нескольких уязвимостей уходит более 500 дней. В период с 2013 по 2023 год рост числа случаев CVE составил 463%.

Полная версия отчёта представлена по ссылке.