Для малого бизнеса
+7 (499) 673-37-62

03.12.2024

Open Source Security

Open Source Security

Получить консультацию по Solar appScreener

Разработчики все активнее интегрируют в свои программные продукты открытые компоненты — Open Source. Исследование ИИМР подтвердило высокие темпы их внедрения. Специалисты сделали прогноз, что к 2025 году только треть корпоративных программ будут проприетарными, остальные — на открытом коде. В связи с этим актуальна тема безопасности Open Source-компонентов. Чтобы выпускать защищенное ПО, необходимо проверять все заимствованные компоненты, поскольку их использование сопряжено с рисками. Если разработчики не будут этого делать, на рынок выйдут программные продукты с уязвимостями, что повлечет за собой повышение вероятности успешных атак на приложения и их пользователей. В статье рассказываем, какие эффективные методы проверки безопасности Open Source существуют, как и когда их применять.

Угрозы, связанные с использованием Open Source-компонентов

Чтобы минимизировать риски атак на приложения, необходимо знать, как безопасно использовать заимствованные компоненты. В частности, необходимо реализовать подход Open Source Security, подразумевающий проверку открытых фрагментов. Если пренебречь безопасностью, можно столкнуться с последствиями одной из ключевых угроз, связанных с Open Source-компонентами — программными закладками. С помощью вредоносных программ в коде ПО злоумышленники могут совершать различные несанкционированные действия, например:

  • Подменять легитимные пакеты данных. В результате в приложение попадает вредоносный код, который может использоваться злоумышленниками для кражи персональной информация и финансов пользователей.
  • Использовать неотслеживаемые зависимости и внедрять вредоносные компоненты в заимствованные фрагменты кода.
  • Создавать «однофамильцев» — пакеты с именами, очень похожими на легитимные. Разработчики могут, не заметив подмены, загрузить такой пакет и создать заведомо уязвимое приложение.

Также угрозы безопасности ПО могут возникнуть, если разработчики использовали устаревшие библиотеки, пакеты из которых давно не проверялись на уязвимости. Если авторы приложений пренебрегают Open Source Security, практически 100% готовых продуктов будут иметь слабые места. Кроме того, могут возникнуть проблемы с лицензированием.

Теперь о последствиях, которые могут ожидать пользователей небезопасного ПО:

  • Утечка конфиденциальной информации и финансов.
  • Репутационный ущерб.
  • Сбои в работе корпоративных сервисов.

Если не тестировать приложения Open Source на безопасность, злоумышленники могут первыми узнать об уязвимостях и успешно их поэксплуатировать. В таких случаях атаки зачастую обнаруживаются уже на стадии негативных последствий.

open source безопасность

Software Composition Analysis (SCA)

Software Composition Analysis — сканирование программного обеспечения с помощью автоматического анализатора. Цель — обнаружить заимствованные фрагменты и проверить их на наличие уязвимостей, выявить закладки в сторонних библиотеках и проблемы с лицензированием.

Алгоритм выполнения SCA-анализа:

  • Загрузка файлов сборки программного обеспечения в автоматический анализатор.
  • Сканирование кодовой базы с применением эффективных тактик идентификации. Например, анализатор может вычислять хеши анализируемого продукта и сравнивать их с перечнем сторонних компонентов.
  • Проверка заимствованных компонентов на наличие слабых мест. Она реализуется путем сравнения с общедоступными базами уязвимостей. Некоторые анализаторы, например, Solar appScreener, также используют собственные базы уязвимых компонентов.
  • После анализа безопасности Open Source формируются отчеты с перечнем обнаруженных проблем заимствованных компонентов.

SCA-анализ можно интегрировать в цикл безопасной разработки программных продуктов — DevSecOps и выполнять уже на первых этапах.

Supply Chain Security для контроля безопасности Open Source

SCS-анализ — проверка безопасности цепочек поставок, которые складываются из:

  • Лиц, причастных к написанию программного кода.
  • Репозиториев, откуда были заимствованы компоненты.
  • Зависимостей компонентов кода.
  • Используемых инструментов и технологий.

Если брать более обобщенное понятие, то под цепочкой поставок подразумевают все этапы создания программного кода. И на этих этапах нельзя забывать об Open Source Security, поскольку каждое звено в цепи может быть уязвимым.

Что проверяется в ходе SCS-анализа:

  • Используемые программистами технологии.
  • Действия лиц, причастных к разработке (поставщиков компонентов, авторов ПО, тестировщиков).
  • Компоненты Open Source.

Метод Open Source Security можно реализовать с помощью автоматического анализатора, который отдельно проверит каждый компонент и выставит оценки доверия. По результатам исследования цепочки поставок можно предположить, какие угрозы вероятны для ПО, даже если в момент проверки уязвимости не обнаружены. То есть SCS, в отличие от SCA, не указывает на слабые места — он направлен на профилактику рисков.

Решения о безопасности Open Source-компонентов принимаются на основе нескольких метрик. Например, в анализаторе Solar appScreener это:

  • Популярность заимствованных компонентов.
  • Авторский состав приложения.
  • Реакция сообщества разработчиков на вопросы безопасности компонентов.
  • Заинтересованность авторов ПО в безопасности выпускаемых продуктов.
  • Дата выпуска компонентов, используемых для построения кода.
  • Первые версии компонентов.
  • Количество проектов, созданных разработчиками, задействованными в создании анализируемого ПО.
  • Процент код-ревью каждого пул реквеста двумя и более рецензентами.

Проанализировав эти факторы, Solar appScreener выдает перечень рисков и оценку вероятности каждого из них. Благодаря этой информации разработчики и служба ИБ организаций-пользователей ПО будут знать, на что направить фокус при контроле безопасности приложений.

Для реализации подхода Open Source Security SCS-анализ целесообразно применять на этапе разработки программных продуктов в комплексе с другими видами тестирований. Это даст возможность принять меры для минимизации рисков появления уязвимостей.

Преимущества использования анализатора Solar appScreener для Open Source Security

Сертифицированный анализатор Solar appScreener предназначен для комплексного контроля безопасности программных продуктов и реализации подхода Open Source Security. С помощью платформы можно проводить проверки SCA, SCS и анализ лицензионных рисков с целью обнаружить проблемы с лицензиями и избежать юридических проблем. Эти методы контроля безопасности ПО объединены в единый модуль — OSA. Его функции:

  • Формирование списков обнаруженных уязвимостей Open Source-компонентов.
  • Анализ Supply Chain-рисков.
  • Построение дерева зависимостей и трассы вызовов.
  • Представление достижимых и недостижимых уязвимостей.
достижимая уязвимость
недостижимая уязвимость

Solar appScreener может формировать отчеты как для разработчиков ПО, так и для офицеров службы ИБ. В отчетах для разработчиков содержатся ссылки на проблемные участки кода и рекомендации по изменению кода в целях устранения обнаруженных уязвимостей. В отчетах для службы ИБ представлены подробные описания всех слабых мест ПО и эффективные способы повышения безопасности программных продуктов.

лучшие практики безопасности при работе с open source-компонентами

Лучшие практики безопасности при работе с Open Source-компонентами

Как на высоком уровне поддерживать безопасность приложений с открытым исходным кодом:

  • Внедрить подход Open Source Security на этапе разработки программных продуктов.
  • Комбинировать несколько методик анализа кода для получения более достоверных результатов.
  • Тестировать код как на начальном этапе разработки, так и уже после выпуска продуктов.
  • Регулярно обновлять ПО.

Помимо создателей программных продуктов, следить за уязвимостями и вредоносными действиями хакеров должны и офицеры службы ИБ компаний, использующих приложения для работы. Solar appScreener поможет оперативно обнаружить проблемы и принять превентивные меры для предотвращения угроз.

Выводы

Чтобы проверить безопасность программного обеспечения с открытым кодом на этапе разработки или после ввода в эксплуатацию, целесообразно комбинировать несколько видов анализа. Помимо наиболее распространенных статического (SAST) и динамического (DAST) тестирований, в рамках подхода Open Source Security осуществляются проверки SCA и SCS. Все перечисленные виды анализа можно проводить с помощью российской платформы Solar appScreener. Анализатор выявит все существующие и потенциальные уязвимости, рассчитает риски. По результатам проверок разработчики и офицеры службы безопасности получат подробные отчеты с рекомендациями по устранению проблем. Эти отчеты можно изучать в интерфейсе платформы, либо скачать в удобном формате.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Zero Day уязвимость: что такое уязвимость нулевого дня

Zero Day уязвимость: что такое уязвимость нулевого дня

Узнать больше
White Box-тестирование: что это такое, и когда применяется

White Box-тестирование: что это такое, и когда применяется

Узнать больше
Cross Site Scripting: что такое XSS-атаки и как от них защититься

Cross Site Scripting: что такое XSS-атаки и как от них защититься

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.