Поделиться
Программные закладки - топ-угроза в OpenSource решениях
Программные закладки остаются главной угрозой, которой сопровождается использование бизнесом OpenSource-решений. По оценкам специалистов «Кросс технолоджис», более 80% российских компаний по итогам 2025 г. использовали как минимум одно OSS-решение в своей инфраструктуре. Об этом CNews сообщили представители «Кросс технолоджис».
Открытое программное обеспечение - это тип ПО, который находится в открытом доступе, свободен для модификации и использования для собственных нужд без дополнительной платы. Эксперты указывают, что популярность таких решений начала расти с начала 2020-х и особо усилилась после 2022 г., когда значительная часть иностранных вендоров покинула российский рынок.
Сокращение ИТ и ИБ-бюджетов, которое имеет место с 2025 г., является отдельным драйвером роста популярности OSS-решений. Компаниям проще создать собственное ПО на основе открытого кода под собственные цели, чем приобретать готовые решения от производителей.
Открытый характер такого ПО создает значительную угрозу - недобросовестные разработчики могут внедрять вредоносные компоненты, например, бэкдоры, которые впоследствии могут быть использованы для реализации хакерских сценариев.
По оценкам специалистов «Кросс технолоджис», количество программных закладок в OpenSource-решениях увеличилось на 50% в 2025 г. по сравнению с 2024 г. Количество подобных уязвимостей в открытом коде растет постоянно и во многом совпадает с ростом спроса на OpenSource-решения.
«Открытое программное обеспечение становится выходом для многих компаний, которые либо не могут себе позволить дорогое ПО от вендоров, либо нуждаются в уникальных решениях, соответствующих особенностям их внутренней инфраструктуры. При этом многие не проводят должных процедур по исследованию кода и выявлению его уязвимостей, что наносит значительный удар по информационной безопасности», - сказал Василий Коровицын, руководитель направления анализа защищенности «Кросс технолоджис».
Эксперты интегратора указывают, что компаниям нужно пройти ряд ИБ-процедур перед внедрением решения в информационную инфраструктуру. Во-первых, необходима организация собственных репозиториев, на которых будет происходить проверка всех поступающих обновлений. Использование публичных репозиториев создает крайне высокие риски. Во-вторых, решение должно быть подвергнуто тщательному анализу ИБ, который включает SCA-анализ, статический и динамический анализ кода, подозрительных зависимостей и так далее. Во-третьих, необходима оценка правовых рисков от использования OSS-решений. Например, на ряде объектов КИИ не может быть использовано несертифицированное решение.
Зачастую OpenSource-решения в базовой конфигурации нацелены на удобство использования, а не безопасность. На этапе внедрения необходимо предусмотреть «харденинг», включающий отключение небезопасных протоколов, разграничение прав доступа, удаление избыточного функционала. После внедрения должен быть проведен пентест системы. Специалисты отмечают, что уверенным в безопасности OpenSource-решений на 100% можно быть крайне редко, поэтому необходимо предусмотреть компенсационные меры, такие как контейнеризация, микросегментация, усиленный мониторинг аномальной активности на узле.
«Любое OSS-решение должно быть в первую очередь совместимо с информационной инфраструктурой, отвечать задачам бизнеса, а его внедрение должно быть оправдано с точки зрения затрат. Открытый код - это не бесплатное решение, оно требует долгой и порой дорогой работы со стороны ИТ и ИБ-специалистов», - сказал Василий Коровицын.
Поделиться
Короткая ссылка
