Звіт: 96% уразливих завантажень із відкритим кодом можна уникнути

Ознайомтеся із сесіями за запитом на саміті Low-Code/No-Code Summit, щоб дізнатися, як успішно впроваджувати інновації та досягати ефективності шляхом підвищення кваліфікації та масштабування громадянських розробників. Дивитися зараз.


Відповідно до восьмого щорічного звіту Sonatype State of the Software Supply Chain Report, у міру зростання залежності галузі від програмного забезпечення з відкритим вихідним кодом зросла кількість відомих атак на ланцюг поставок програмного забезпечення, причому за останні три роки вони зросли на 742%. Відповідно до звіту, щомісяця завантажується 1,2 мільярда вразливих залежностей. З них 96% мали доступний невразливий варіант. У публічних обговореннях причиною часто називають поведінку споживачів, а не тих, хто підтримує відкритий код.

Однією з причин цієї тенденції є збільшення та еволюція атак на ланцюги поставок програмного забезпечення. Звіт показує зростання на 633% порівняно з минулим роком кількості зловмисних атак, націлених на відкритий вихідний код у загальнодоступних сховищах, і в середньому на 742% щорічне збільшення атак на ланцюг постачання програмного забезпечення з 2019 року.

Джерело зображення: Sonatype.

Хоча кіберзлочинці не є чимось новим, частота, серйозність і складність цих зловмисних атак стають основною проблемою, яка турбує розробників і організації в усьому світі. Розробників просять підтримувати робочі знання щодо якості програмного забезпечення, численних екосистем з відкритим вихідним кодом, мінливих правил і майже 1500 змін залежностей на рік для кожної програми – і все це перед обличчям атак, що постійно розвиваються.

Отже, що можна зробити? Зведення до мінімуму залежностей і низький час оновлення є критично важливими факторами для зниження ризику транзитивної вразливості — найпоширенішого джерела ризику безпеки.

Подія

Саміт інтелектуальної безпеки

8 грудня дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Зареєструйтеся, щоб отримати безкоштовний пропуск сьогодні.

Зареєструватися зараз

Однак усунення вразливостей — це більше, ніж безпека проектів: це також впливає на задоволеність роботою. В опитуванні професіоналів інженерів люди з організацій з вищим рівнем зрілості ланцюжка поставок програмного забезпечення в 2,7 рази частіше погоджувалися з твердженням «Я задоволений своєю роботою».

Цікаво, що існує чіткий розрив між заходами безпеки, які вживаються, і тим, хто працює в ІТ думаю стається. Шістдесят вісім відсотків респондентів були впевнені, що їхні програми не використовують уразливі бібліотеки. Проте під час випадкового сканування корпоративних додатків 68% мали відомі вразливості в компонентах програмного забезпечення з відкритим кодом.

ІТ-менеджери в 2,4 рази частіше, ніж респонденти, які займаються інформаційною безпекою, повністю погодилися з твердженням «Ми розглядаємо проблеми безпеки як регулярну частину розробки».

Щоб швидше впроваджувати інновації та рости в масштабах, організаціям потрібно якомога легше розробникам створювати безпечне програмне забезпечення, яке зручно підтримувати, а також надати їм розумніші інструменти, які забезпечують кращий огляд їхніх систем і автоматизують їхні процеси.

Восьмий щорічний звіт Sonatype про стан ланцюга поставок програмного забезпечення поєднує широкий набір загальнодоступних і приватних даних і аналізу, включаючи 131 мільярд завантажень Maven Central, результати опитування 662 інженерів і оцінку 85 000 корпоративних програм.

Прочитайте повний звіт від Sonatype.

Місія VentureBeat має стати цифровою міською площею для тих, хто приймає технічні рішення, щоб отримати знання про трансформаційні корпоративні технології та транзакції. Відкрийте для себе наші брифінги.

Leave a Comment