Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Половина библиотек для разработки ПО содержит уязвимости. Как защититься от хакеров и какие методы лучше использовать

09.01.2025

Около 50% популярных библиотек для разработки ПО с открытом кодом содержат уязвимости, рассказали «Известиям» эксперты. Через них атаки хакеров могут привести к утечке конфиденциальных данных компаний, а также и персональных, приостановить работу внутренней системы либо внести зловред в систему безопасности. Для предотвращения атак эксперты рекомендуют устанавливать антивирусное программное обеспечение и регулярно обновлять приложения.

Как хакеры похищают данные пользователей

Каждая вторая из популярных библиотек для разработки программного обеспечения с открытым кодом (там разработчики берут доступные инструменты для создания новых продуктов) содержала уязвимость в какой-либо из своих версий. Об этом «Известиям» рассказали в AppSec Solutions, которая провела анализ открытых источников. Большинство таких библиотек разрабатываются энтузиастами или небольшими командами, которые зачастую не имеют ресурсов на регулярный аудит безопасности либо не обладают необходимыми навыками в области информационной безопасности, объяснил эксперт направления анализа защищенности Infosecurity (ГК Softline) Олег Уланов.

Фото: ИЗВЕСТИЯ/Эдуард Корниенко

Открытое ПО — это своего рода лотерея, говорит руководитель департамента аудита и консалтинга компании F.A.C.C.T. Евгений Янов. Открытый исходный код дает злоумышленникам возможность тщательно изучить его и найти уязвимости, которые они смогут использовать для неправомерных действий, отметил он.

— Для обычного пользователя опасность заключается в том, что уязвимости могут быть использованы для кражи данных, финансов, заражения устройств вредоносным ПО или других форм атак. Например, если приложение на смартфоне использует уязвимую библиотеку, злоумышленники могут использовать ее и получить полный контроль над данными пользователя, — сказал Олег Уланов.

Для разработчиков риски еще более масштабны — хакеры через них могут атаковать инфраструктуру компаний, что чревато полной компрометацией данных пользователей, нарушением бизнес-процессов вплоть до потери бизнеса, отметил он. Кроме того, эксплуатация злоумышленниками уязвимостей приводит к репутационным потерям, которые обязательно скажутся на финансовом благополучии компании.

Фото: ИЗВЕСТИЯ/Павел Волков

Руководитель направления развития сообществ ИБ Positive Technologies Антон Кутепов считает, что последствия таких уязвимостей могут варьироваться от незначительных до крайне серьезных, в том числе утечки данных. Однако для разработчиков, которые используют открытые библиотеки, важным аспектом всё же остаются репутационные риски. В случае обнаружения уязвимости самое главное — быстро обновить используемую версию, пояснил он.

Microsoft, например, наладила механизм оперативного устранения таких проблем и имеет программу поощрения исследователей, которые сообщают вендору о найденных уязвимостях, добавил эксперт. Всего на сегодняшний день, по данным «Лаборатории Касперского», известно более чем о 12 тыс. уязвимых решений с открытым исходным кодом.

Справка «Известий»

Глава Роскомнадзора Андрей Липов 19 декабря 2024 года заявлял, что за 11 месяцев 2024 года ведомство зафиксировало 127 случаев распространения баз данных в интернете, содержащих более 680 млн личных записей. Закон, который Госдума приняла в конце ноября, ужесточает наказание за утечку персональных данных, напомнили в ведомстве. Новые меры ответственности будут побуждать компании серьезнее относиться к защите персональных данных.

Как обезопасить персональные и корпоративные данные

Современная разработка программного обеспечения редко начинается ‎с нуля‎. В большинстве случаев, чтобы сократить время создания продукта, применяются уже готовые решения, заявил руководитель кластера DevSecOps-платформы «Сфера» (IT-холдинг Т1) Сергей Смирнов. По оценкам экспертов рынка, доля переиспользуемых библиотек в проектах может достигать 80%, подчеркнул эксперт.

— Когда библиотека становится популярной, число ее пользователей растет, что, в свою очередь, увеличивает вероятность выявления уязвимостей как специалистами, так и злоумышленниками, — сказал эксперт.

Фото: ИЗВЕСТИЯ/Эдуард Корниенко

Еще одной причиной большого числа уязвимостей является и снижение качества программирования в целом, считает директор департамента кибербезопасности в IBS Олег Босенко.

— Именно высокое качество программирования, проработка процессов, тестирование программных модулей позволяют исключить уязвимости. Преградой стоит стремление ускорить вывод продукта на рынок. И тогда сырой, непроверенный детально продукт попадает в библиотеку, — пояснил он.

Общий риск очевиден — снижение уровня безопасности в целом, формирование каналов деструктивного воздействия, утечки данных и так далее, подчеркнул эксперт.

По словам Сергея Смирнова, чтобы предотвратить последствия, пользователям необходимо установить антивирусное программное обеспечение и регулярно обновлять приложения. Для разработчиков, в свою очередь, существуют специализированные инструменты, которые позволяют минимизировать риски на этапе разработки, — например, статические, динамические анализаторы кода.

Фото: ИЗВЕСТИЯ/Павел Волков

Аудит применяемых решений крайне важен, добавил Олег Уланов из Infosecurity, проверка кода сторонних и собственных библиотек на безопасность помогает заранее определить слабые места, которые могут быть устранены до использования. Для этого можно привлечь сторонних специалистов по анализу защищенности, которые предоставят подробный отчет с рекомендациями, добавил он. Помимо этого, важно регулярное отслеживание уязвимостей в используемых библиотеках и их обновление, добавил он.

Источник: https://iz.ru/

Новости, истории и события
Смотреть все
Академия Softline запускает первую в России корпоративную программу по безопасности систем машинного обучения
Новости

Академия Softline запускает первую в России корпоративную программу по безопасности систем машинного обучения

14.03.2025

ГК Softline стала платиновым партнером UserGate
Новости

ГК Softline стала платиновым партнером UserGate

13.03.2025

SL Soft (ГК Softline) представила обновления платформы ROBIN и цифрового ассистента
Новости

SL Soft (ГК Softline) представила обновления платформы ROBIN и цифрового ассистента

12.03.2025

В «Цитрос ЮЗ ЭДО» от SL Soft (ГК Softline) поддержаны новые правила работы по упрощенной системе налогообложения
Новости

В «Цитрос ЮЗ ЭДО» от SL Soft (ГК Softline) поддержаны новые правила работы по упрощенной системе налогообложения

11.03.2025

Провайдер «Инферит Облако» (ГК Softline) защитит данные клиентов с помощью DRaaS
Новости

Провайдер «Инферит Облако» (ГК Softline) защитит данные клиентов с помощью DRaaS

11.03.2025

Провайдер «Инферит Облако» (ГК Softline) представил новый интерфейс для управления облачными ресурсами
Новости

Провайдер «Инферит Облако» (ГК Softline) представил новый интерфейс для управления облачными ресурсами

10.03.2025

Провайдер «Инферит Облако» (ГК Softline) заключил технологическое партнерство с MIND Software
Новости

Провайдер «Инферит Облако» (ГК Softline) заключил технологическое партнерство с MIND Software

07.03.2025

ГК Softline объявляет о смене названия компании НТО «ИРЭ-Полюс» на VPG Laserone с 7 марта 2025 года
Новости

ГК Softline объявляет о смене названия компании НТО «ИРЭ-Полюс» на VPG Laserone с 7 марта 2025 года

07.03.2025

ГК Softline оснастила новый корпус центра детского (юношеского) технического творчества «Охта» в Санкт-Петербурге
Новости

ГК Softline оснастила новый корпус центра детского (юношеского) технического творчества «Охта» в Санкт-Петербурге

06.03.2025

Bell Integrator (ГК Softline) провела конференцию «Автоматизация тестирования в ИТ»
Новости

Bell Integrator (ГК Softline) провела конференцию «Автоматизация тестирования в ИТ»

05.03.2025

Подтверждена совместимость UDV ITM и UDV DATAPK Industrial Kit с ОС семейства «МСВСфера» (ГК Softline)
Новости

Подтверждена совместимость UDV ITM и UDV DATAPK Industrial Kit с ОС семейства «МСВСфера» (ГК Softline)

04.03.2025

Ирина Назаренко возглавит направление «Инферит ОС» (ГК Softline)
Новости

Ирина Назаренко возглавит направление «Инферит ОС» (ГК Softline)

04.03.2025

FastFox перешел на отечественную ОС «МСВСфера Сервер» 9 от «Инферит» (ГК Softline)
Новости

FastFox перешел на отечественную ОС «МСВСфера Сервер» 9 от «Инферит» (ГК Softline)

03.03.2025

Российский ИТ-вендор «Инферит» (ГК Softline) вошел в АРПЭ
Новости

Российский ИТ-вендор «Инферит» (ГК Softline) вошел в АРПЭ

03.03.2025

ГК Softline снова запускает программу обучения «ИТ — твоё место работы» для менеджеров по продажам
Новости

ГК Softline снова запускает программу обучения «ИТ — твоё место работы» для менеджеров по продажам

03.03.2025

Российский производитель лазеров НТО «ИРЭ-Полюс» (ГК Softline) принял участие в международном мероприятии SUAC-2025 – 36‑й конференции Саудовской урологической ассоциации
Новости

Российский производитель лазеров НТО «ИРЭ-Полюс» (ГК Softline) принял участие в международном мероприятии SUAC-2025 – 36‑й конференции Саудовской урологической ассоциации

28.02.2025

Академия Softline объявляет о стратегическом партнерстве с Arenadata и развитии направления Data Science
Новости

Академия Softline объявляет о стратегическом партнерстве с Arenadata и развитии направления Data Science

28.02.2025

ГК Softline реализовала комплексное оснащение школ-новостроек в Ставрополе
Новости

ГК Softline реализовала комплексное оснащение школ-новостроек в Ставрополе

28.02.2025

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR
Блог

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR

14.03.2025

Инвестиции в цифровизацию ритейла: стратегии 2025 года
Блог

Инвестиции в цифровизацию ритейла: стратегии 2025 года

11.03.2025

Топ-редакторы для работы с PDF — сравниваем программы
Блог

Топ-редакторы для работы с PDF — сравниваем программы

04.03.2025

Российские офисные системы: выбор и преимущества
Блог

Российские офисные системы: выбор и преимущества

03.03.2025

Softline Assessment и СУБД Tantor: мощный тандем для диагностики инфраструктуры
Блог

Softline Assessment и СУБД Tantor: мощный тандем для диагностики инфраструктуры

26.02.2025

Интервью ГК Softline и «Базальт СПО»: сервис Softline Enterprise Agreement — инфраструктура заказчика из единого окна
Блог

Интервью ГК Softline и «Базальт СПО»: сервис Softline Enterprise Agreement — инфраструктура заказчика из единого окна

24.02.2025

ИИ-тренды в промышленности: от цифровых ассистентов до умных АСУ ТП
Блог

ИИ-тренды в промышленности: от цифровых ассистентов до умных АСУ ТП

20.02.2025

Как эффективно защитить инфраструктуру компании от DDoS-атак?
Блог

Как эффективно защитить инфраструктуру компании от DDoS-атак?

14.02.2025

ИТ-тренды в образовании: с чем идем в 2025 год
Блог

ИТ-тренды в образовании: с чем идем в 2025 год

11.02.2025

Программирование без кода: как с помощью No-Code и Low-Code адаптировать Service Desk под любые задачи
Блог

Программирование без кода: как с помощью No-Code и Low-Code адаптировать Service Desk под любые задачи

04.02.2025

Егор Кукушкин (Группа «Борлас»): «Отечественный рынок смог в существенной степени переориентироваться на импортозамещение»
Блог

Егор Кукушкин (Группа «Борлас»): «Отечественный рынок смог в существенной степени переориентироваться на импортозамещение»

04.02.2025

Юрий Латин, Bell Integrator: Будущее заказной разработки перспективное, и не только из-за импортозамещения
Блог

Юрий Латин, Bell Integrator: Будущее заказной разработки перспективное, и не только из-за импортозамещения

04.02.2025

Стек российских технологий из одного «окна»: как выгодно импортозаместить ПО с Softline Enterprise Agreement
Блог

Стек российских технологий из одного «окна»: как выгодно импортозаместить ПО с Softline Enterprise Agreement

04.02.2025

Как технологии no-code ускоряют внедрение цифровых двойников
Блог

Как технологии no-code ускоряют внедрение цифровых двойников

03.02.2025

Как оснастить школу в соответствии с приказом № 838: руководство для строительных компаний
Блог

Как оснастить школу в соответствии с приказом № 838: руководство для строительных компаний

29.01.2025

Рынок BPM-систем вчера, сегодня, завтра
Блог

Рынок BPM-систем вчера, сегодня, завтра

28.01.2025

Дата-центры в России: тенденции и перспективы
Блог

Дата-центры в России: тенденции и перспективы

13.01.2025

Как эффективно внедрить стандарты ГОСТ в организацию: этапы и советы
Блог

Как эффективно внедрить стандарты ГОСТ в организацию: этапы и советы

12.01.2025