Сервис «Лаборатории Касперского» для выявления закладок в открытом ПО
«Лаборатория Касперского» представила свой новый фид – Kaspersky Open Source Software Threats Data Feed, который позволит выявлять закладки в сторонних компонентах и ПО с открытым исходным кодом. Как отмечают в «Лаборатории Касперского», это первый подобный сервис в России, с его помощью компании смогут минимизировать риски использования open source – благодаря актуальным данным о пакетах с уязвимостями, вредоносным кодом и недекларированными возможностями.
На данный момент в Kaspersky Open Source Software Threats Data Feed уже содержится информация примерно о 3000 уязвимых и вредоносных пакетов, размещенных в популярных репозиториях. Причем в десятках пакетов зафиксированы недекларированные возможности, в том числе отображение нежелательной информации политической направленности. Некоторые из скомпрометированных компонентов были загружены пользователями десятки тысяч раз. По данным «Лаборатории Касперского», среди уязвимостей, обнаруженных в пакетах open source, около 35% имеют высокий уровень опасности (High) и около 10% – критический (Critical).
Разработчики, поясняют в компании, часто используют готовые пакеты с открытым исходным кодом при выполнении своих задач, это общепринятая практика, которая позволяет фокусироваться на комплексных проектах и индивидуальных требованиях к ПО, экономить время и ресурсы при создании стандартных функций. Существует несколько крупных репозиториев, где специалисты могут найти подходящий под свой проект компонент. Однако в подобных пакетах могут содержаться случайные или намеренные уязвимости, а также вредоносный код. Более того, иногда создатели пакета намеренно приводят исполняемый код программы к виду, сохраняющему ее функциональность, но затрудняющему анализ, понимание алгоритмов работы и внесение изменений при декомпиляции.
С потоком данных Kaspersky Open Source Software Threats Data Feed разработчики смогут избежать уязвимых и скомпрометированных пакетов. Это в том числе пакеты, которые изменяют свою функциональность в определенных регионах (например, блокируют функциональность в РФ). Фид предоставляется в формате JSON.