«Лаборатория Касперского» запустила сервис для поиска закладок в ПО open source

 

«Лаборатория Касперского» анонсировала сервис под названием Kaspersky Open Source Software Threats Data Feed: он предназначен для обнаружения закладок в сторонних компонентах и ПО с открытым исходным кодом. Решение поможет компаниям минимизировать риски использования продуктов open source.

На сегодняшний день новый сервис содержит информацию примерно о 3000 уязвимых и вредоносных пакетов, размещённых в популярных репозиториях. Причём в десятках таких компонентов найдены недекларированные возможности, в том числе связанные с отображением нежелательной информации политической направленности.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

По оценкам «Лаборатории Касперского», около трети (35 %) уязвимостей, найденных в пакетах open source, имеют высокий уровень опасности, а примерно 10 % — критический. Некоторые из таких компонентов были загружены пользователями десятки тысяч раз.

«С потоком данных Kaspersky Open Source Software Threats Data Feed разработчики смогут избежать уязвимых и скомпрометированных пакетов. Это в том числе пакеты, которые содержат политические лозунги либо изменяют свою функциональность в определённых регионах (например, блокируют функциональность в РФ). Фид предоставляется в формате JSON», — отмечает «Лаборатория Касперского».

Сейчас доступны несколько крупных репозиториев, где разработчики могут найти подходящий под свой проект компонент. Это позволяет сосредоточить усилия на основной задаче, экономя время и ресурсы при внедрении стандартных функций. Однако в подобных пакетах могут содержаться случайные или намеренные уязвимости, а также вредоносный код. Новое решение как раз и ориентировано на снижение рисков при подключении таких компонентов с открытым кодом. 

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.

Источник:

Постоянный URL: https://servernews.ru/1078564
Система Orphus