Интеграция фида Kaspersky в средство анализа ПО CodeScoring
Компания «Лаборатория Касперского» объявила, что имеющиеся у нее данные о пакетах open source, содержащих уязвимости, вредоносное ПО и опасные «закладки», теперь доступны пользователям решения композиционного анализа ПО CodeScoring компании Profiscope.
На текущий момент Kaspersky Open Source Software Threats Data Feed содержит информацию примерно о 42 тыс. уязвимостей в более чем 10 тысячах пакетов, и об 11 тыс. вредоносных или содержащих потенциально опасные хакерские утилиты пакетов с открытым исходным кодом, которые размещены в популярных репозиториях. Компании, проверяющие сторонние компоненты, чтобы снизить риски их использования, теперь могут это делать с помощью решения CodeScoring, в базу данных которого добавили фид Kaspersky Open Source Software Threats Data Feed.
Как отмечают в «Лаборатории Касперского», использование готовых пакетов при разработке – общепринятая практика, которая позволяет экономить время при создании ПО. Однако важно помнить о рисках атак на цепочку поставок, число которых особенно выросло в 2022 г., когда были обнаружены множество скомпрометированных и вредоносных пакетов в популярных репозиториях. Интеграция фида «Лаборатории Касперского» в CodeScoring поможет пользователям выбирать надежные разработки open source.
«Лаборатория Касперского» предлагает фиды различных форматов (JSON, CSV, OpenIOC, STIX) в качестве сервиса, предоставляющего компаниям информацию об угрозах для защиты их инфраструктуры. Kaspersky Open Source Software Threats Data Feed, поясняют в компании, поставляет уникальные данные, которых нет в публичных базах уязвимостей. Речь идет в том числе о компонентах с недекларируемыми возможностями, например, отображающими нежелательную информацию, обусловленную геополитикой, и пакетах, содержащих небезопасное ПО, такое как криптомайнеры или вредоносные инструменты.
Фид содержит информацию о вредоносных и уязвимых пакетах, которые были обнаружены в популярных репозиториях. Чаще всего вредоносные компоненты встречались в репозиториях Npm и PyPi. Продукт CodeScoring – удобный инструмент для использования этих данных: он автоматизирует проверку компонентов с открытым исходным кодом и предоставляет разработчикам результаты анализа.
За счет интеграции сервиса в решение CodeScoring от Profiscope, подчеркивают в «Лаборатории Касперского», пользователи получили полнофункциональное решение композиционного анализа, усиленное экспертизой компании в области кибербезопасности.