Sonatype: атаки с открытым исходным кодом выросли на 650%

Данные исследования показывают, что предложение, спрос и уязвимости в системе безопасности с открытым исходным кодом демонстрируют «взрывной» рост.

В отчет включены данные о миграции 100 000 производственных приложений и 4 миллионов компонентов, выполненной разработчиками, а также данные, связанные с экосистемами Java (Maven Central), JavaScript (npmjs), Python (PyPI) и .Net (nuget). Изучены тенденции предложения, спроса и безопасности, а также некоторые основные моменты. Результаты выглядят следующим образом:

Предложение, спрос и уязвимости в области безопасности открытых исходных кодов демонстрируют "взрывной" рост.

1. Предложение выросло на 20%. За последний год четыре основные экосистемы с открытым исходным кодом выпустили 6 302 733 новых версии компонентов/пакетов, запустили 723 570 новых проектов, и в них приняли участие 27 миллионов разработчиков по всему миру. На данный момент общее количество компонентов/пакетов в четырех основных экосистемах с открытым исходным кодом достигло 37 451 682.

2. Спрос вырос на 73%. В 2021 году разработчики по всему миру загрузят более 2,2 триллиона пакетов с открытым исходным кодом из четырех крупнейших экосистем.

3. С увеличением количества загрузок открытых продуктов количество атак на них увеличилось на 650%. В 2021 году мир стал свидетелем экспоненциального роста числа атак на цепочки поставок программного обеспечения, направленных на использование слабых мест в вышестоящей экосистеме с открытым исходным кодом.

4. Производственные приложения используют только 6% доступных проектов с открытым исходным кодом. Хотя существует большое количество доступных проектов с открытым исходным кодом, текущий уровень использования сосредоточен лишь на нескольких популярных проектах.

5. Популярные проекты с открытым исходным кодом более уязвимы для атак. 29% версий популярных проектов содержат по крайней мере одну известную уязвимость в системе безопасности; и наоборот, только 6,5% версий непопулярных проектов имеют такую уязвимость. Эти данные показывают, что исследователи безопасности (как " blackhat", так и "whitehat ") больше внимания уделяют проектам с более высоким уровнем использования.
   

Плотность уязвимостей с открытым исходным кодом распределяется по экосистемам

Исследование, опубликованное Sonatype, показывает, что, хотя спрос разработчиков на открытый исходный код продолжает расти в геометрической прогрессии, общее количество открытого исходного кода в реальном использовании по-прежнему очень мало.

Среди популярных в настоящее время проектов количество содержащихся в них уязвимостей значительно превышает обычный процент. Sonatype отметила, что вышеприведенные факты проясняют важные обязанности и возможности для руководителей проектов на данном этапе - внедрение интеллектуальной автоматизации, которая позволяет достичь стандартизации на основе лучших поставщиков открытого кода, одновременно помогая разработчикам поддерживать сторонние обновления для библиотеки и ее лучшей версии.

Проекты с открытым исходным кодом с быстрыми итерациями обновлений и низкой популярностью являются более безопасными

Проекты с более быстрым средним временем обновления (Mean Time to Update) являются наиболее безопасными. Было установлено, что вероятность наличия уязвимостей в них в 1,8 раза ниже.

Кроме того, популярность проекта не является хорошим предиктором безопасности проекта. В целом, более популярные проекты с открытым исходным кодом в 2,8 раза чаще содержат уязвимости, чем обычные проекты.

Практики управления зависимостями между командами разработчиков сильно различаются.

Данные показывают, что в цепочке поставок программного обеспечения с открытым исходным кодом разработчики ПО делают неоптимальный выбор в 69% случаев при обновлении зависимостей от третьих сторон. В целом, новые версии проекта будут лучше, но не все из них являются лучшими.

Коммерческие инженерные команды управляют только 25% используемых ими компонентов, в результате чего большинство зависимостей от открытого исходного кода устаревает и подвергается повышенным рискам безопасности.

В отчете Sonatype отмечается, что автоматизация может помочь команде разработчиков сэкономить 192 000 долларов в год. Компания среднего размера с 20 командами разработчиков приложений, оснащенная интеллектуальной системой автоматизации, поможет компании сэкономить 160 дней разработки каждый год.

Практика управления цепочками поставок программного обеспечения: восприятие и реальность

Исследование Sonatype также показало, что команде разработчиков не хватает структурированного руководства, и они часто принимают неоптимальные решения в управлении цепочками поставок программного обеспечения.

В целом, сотрудники считают, что они хорошо справляются с устранением дефектов и понимают риски. Но на самом деле существует несоответствие между субъективными отзывами в опросах и объективными данными.

Что касается текущих проблем в области цепочки поставок программного обеспечения, компания Sonatype в своем исследовании отметила, - что нынешние компании, такие как Apple, Goldman Sachs, Amazon, Zoom, Peloton и Wayfair, овладели тремя ключевыми конкурентными преимуществами:

1. умение масштабно использовать открытый исходный код и инновации сторонних разработчиков

2. интеграция безопасности и контроля рисков в различные этапы цепочки поставок программного обеспечения

3. публиковать более качественный код быстрее, чем конкуренты.