«Лаборатория Касперского» анонсировала сервис под названием Kaspersky Open Source Software Threats Data Feed: он предназначен для обнаружения закладок в сторонних компонентах и ПО с открытым исходным кодом. Решение поможет компаниям минимизировать риски использования продуктов open source.
На сегодняшний день новый сервис содержит информацию примерно о 3000 уязвимых и вредоносных пакетов, размещённых в популярных репозиториях. Причём в десятках таких компонентов найдены недекларированные возможности, в том числе связанные с отображением нежелательной информации политической направленности.
Источник изображения: pixabay.com
По оценкам «Лаборатории Касперского», около трети (35 %) уязвимостей, найденных в пакетах open source, имеют высокий уровень опасности, а примерно 10 % — критический. Некоторые из таких компонентов были загружены пользователями десятки тысяч раз.
«С потоком данных Kaspersky Open Source Software Threats Data Feed разработчики смогут избежать уязвимых и скомпрометированных пакетов. Это в том числе пакеты, которые содержат политические лозунги либо изменяют свою функциональность в определённых регионах (например, блокируют функциональность в РФ). Фид предоставляется в формате JSON», — отмечает «Лаборатория Касперского».
Сейчас доступны несколько крупных репозиториев, где разработчики могут найти подходящий под свой проект компонент. Это позволяет сосредоточить усилия на основной задаче, экономя время и ресурсы при внедрении стандартных функций. Однако в подобных пакетах могут содержаться случайные или намеренные уязвимости, а также вредоносный код. Новое решение как раз и ориентировано на снижение рисков при подключении таких компонентов с открытым кодом.
Источник:
