14 февраля 2025

eur = 94.92 -3.09 (-3.15 %)

btc = 97 066.00$ 884.07 (0.92 %)

eth = 2 713.64$ 30.35 (1.13 %)

ton = 3.80$ 0.10 (2.65 %)

usd = 91.03 -3.02 (-3.21 %)

eur = 94.92 -3.09 (-3.15 %)

btc = 97 066.00$ 884.07 (0.92 %)

Форум

Сервис «Лаборатории Касперского» позволит минимизировать риски использования Open Source

1 минута на чтение
Сервис «Лаборатории Касперского» позволит минимизировать риски использования Open Source

«Лаборатория Касперского» представила сервис для выявления закладок в ПО с открытым исходным кодом, сообщили в компании «Коду Дурова».

Kaspersky Open Source Software Threats Data Feed позволит выявлять закладки в сторонних компонентах и ПО с открытым исходным кодом. Это поможет компаниям минимизировать риски использования продуктов Open Source.

Всё благодаря актуальным данным о пакетах с уязвимостями, вредоносным кодом и недекларированными возможностями. Уже сейчас в сервисе есть информация примерно о трёх тысячах уязвимых и вредоносных пакетов, размещённых в популярных репозиториях.

В десятках пакетов специалисты зафиксировали недекларированные возможности, в том числе отображение нежелательной информации политической направленности или пакеты, изменяющие свою функциональность в определённых регионах.

Утверждается, что некоторые из скомпрометированных компонентов загружены пользователями десятки тысяч раз. Исследование показало, что среди уязвимостей, обнаруженных в Open Source пакетах, около 35% имеют высокий уровень опасности, и около 10% — критический:

Разработчики часто используют готовые пакеты с открытым исходным кодом при выполнении своих задач. Это позволяет им фокусироваться на комплексных проектах и индивидуальных требованиях к ПО, экономить время и ресурсы при создании стандартных функций. Существует несколько крупных репозиториев, где специалисты могут найти подходящий под свой проект компонент. Однако в подобных пакетах могут содержаться случайные или намеренные уязвимости, а также вредоносный код. Более того, иногда создатели пакета намеренно приводят исполняемый код программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы и внесение изменений при декомпиляции.

В «Лаборатории Касперского» подчеркнули, что представленным потоком данных разработчики смогут избежать уязвимых и скомпрометированных пакетов. Эксперт по кибербезопасности «Лаборатории Касперского» Денис Паринов также напомнил о возникающих рисках:

Использование готовых пакетов при разработке — это общепринятая практика. Она позволяет экономить много времени при создании ПО. Однако важно помнить о возникающих рисках атак на цепочку поставок, которые особенно возросли в 2022 году, когда были обнаружены сотни скомпрометированных и вредоносных пакетов в популярных репозиториях. Чтобы снизить риски подключения уязвимых или даже вредоносных пакетов, мы предлагаем проверять их сторонние компоненты с помощью нашего решения.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
87744bbc-c74b-43b7-bbb4-e3defd86d8d2-изображение-01a43137c-d3fa-4636-aee3-e5aaa9f3b594-изображение-1a30518cf-8dd6-4472-a5d3-8d42641dec2a-изображение-2

GigaChat Max: коротко о главном

Яндекс Фабрика представила планшеты Lunnen Ground

Полная версия 
5d3b8d63-4986-4939-b6bd-9909e54119a4-изображение-07eb50b35-c2b2-46d9-b4a2-5d7fcb6bd664-изображение-1

GigaChat Max: коротко о главном

Google Play начал предупреждать пользователей о некачественных приложениях

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 315
X5 Tech
Газпромбанк
МТС
Т-Банк
Сбер
билайн
Яндекс Практикум
Ozon Tech
Циан
Банк 131