Ponieważ firmy w coraz większym stopniu polegają na darmowym i otwartym oprogramowaniu (FOSS), ich bezpieczeństwo jest narażane na niepotrzebne ryzyko.
Tak wynika z najnowszego raportu (otwiera się w nowej karcie) firmy Sonatype zajmującej się bezpieczeństwem łańcucha dostaw oprogramowania, który przedstawia ponury obraz rodzajów oprogramowania open source, na którym firmy mogą polegać jako sposób na obniżenie kosztów oprogramowania.
Według raportu State of the Software Supply Chain firmy, już od ośmiu lat, programiści pobierają co miesiąc 1.200 miliarda podatnych na ataki zależności, z czego 96% miało alternatywę, która nie jest podatna na ataki.
Wzrost ataków na łańcuch dostaw OSS
Atakowanie repozytoriów open source, które są następnie pobierane i integrowane z oprogramowaniem korporacyjnym, jest wyraźnym przykładem cyberataku w łańcuchu dostaw.
Przy około 1500 zmianach zależności na aplikację każdego roku, utrzymywanie ekosystemów open source wywiera dużą presję na programistów, a błędy zawsze będą popełniane.
Być może w rezultacie Sonatype donosi, że tego rodzaju aktywność cybernetyczna odnotowała ogromny wzrost, rosnąc o 633% rok do roku.
Uważa jednak, że istnieje rozwiązanie: przede wszystkim minimalizacja zależności i przyspieszenie aktualizacji oprogramowania na punktach końcowych. Zaleca również uświadamianie inżynierów o wrażliwych zależnościach FOSS.
Firma Sonatype odkryła, że ponad dwie trzecie (68%) respondentów było przekonanych, że ich aplikacje nie korzystają z podatnych na ataki bibliotek, pomimo takiego samego odsetka aplikacji korporacyjnych (68%), które zawierają znane luki w komponentach oprogramowania typu open source.
Ponadto administratorzy IT byli ponad dwukrotnie bardziej skłonni uwierzyć, że ich firmy rutynowo rozwiązują problemy z oprogramowaniem w fazie rozwoju, niż ich odpowiednicy w zakresie bezpieczeństwa IT.
W przypadku Sonatype firmy muszą uprościć i usprawnić proces tworzenia oprogramowania za pomocą inteligentniejszych narzędzi, lepszej widoczności i lepszej automatyzacji.
Ataki w łańcuchu dostaw należą do najbardziej niszczycielskich cyberincydentów w ostatnich latach, w tym incydenty oparte na luce log4j i kompromitacji SolarWinds. Nawet dzisiaj cyberprzestępcy atakują organizacje wszelkich kształtów i rozmiarów, wykorzystując lukę log4j.
Przez VentureBeat (Otwiera się w nowej karcie).
