По оценке экспертов, от 50 до 85% IT-решений в реестре отечественного ПО разработаны с использованием открытого кода. При этом к 2026 году до 90% компаний планируют увеличить объем используемых open-source-библиотек в IT-разработке.
C 2022 года использование непроверенного открытого кода из доступных международных библиотек (например, GitHub) в клиентских финтех-, банковских и e-commerce-приложениях несет риски для пользователей и заказчиков IT-разработок. Как пример первого вектора атак — атаки через уязвимость Log4Shell, выявленную в бесплатно распространяемой библиотеке log4j2.
Следующий вектор — геополитический, или Protestware, — добавление в открытый код вредоносной функциональности, которая активируется только в российской доменной зоне. Например, популярный пакет es5-ext на GitHub может быть использован для улучшения функциональности и производительности кода на JavaScript. Обычно es5-ext включается в проект через менеджер пакетов NPM (от Node.js) или YARN (от Facebook) и используется в коде через директиву Import или Require(). Российские эксперты выяснили, что пакет определяет тайм-зону, в которой он работает. Как только он понимает, что попал в российский часовой пояс, то выводит слоганы политического характера.
Третий вектор атак через open-source — это атаки на цепочку поставок. При использовании ПО клиент может получить обновление или любое ПО от разработчика с включенным в него зловредным ПО или бэкдором. Практика атак через цепочки поставок только увеличивается: если в 2022 году число инцидентов со взломом через подрядчиков было около 20%, то в первой половине 2023 года эта тактика фиксировалась уже в 30% случаев.
Для снижения рисков при работе с open-source Angara Security рекомендует создавать на базе собственной IT-инфраструктуры локальный доверенный репозиторий для команды разработки, который позволяет выявить эксплуатируемые уязвимости на ранних этапах и повысить уровень доверия к создаваемому ПО.
Работа подобного доверенного репозитория выстраивается по следующему алгоритму. При запросе разработчиками кода из открытого внешнего репозитория специалисты по кибербезопасности получают исчерпывающую информацию по данному ПО с использованием многоуровневой проверки специализированными сканерами OSA и SCA. При успешном прохождении проверок код попадает в локальный репозиторий и на следующих этапах разработки к нему можно подключить дополнительно инструменты SAST, DAST. На всех этапах сборки и получения ПО организован поиск ошибок и потенциальных проблем безопасности с учетом актуальных данных по уязвимостям.
«Мы применяем подход с поэтапной проверкой кода из общедоступных источников и задействуем инструменты от лидеров российского рынка информационной безопасности, — комментирует Андрей Макаренко, руководитель отдела развития бизнеса Angara Security. — Мы проверяем и качество кода, и возможную зависимость от другого open-source ПО. Что важно для компании: репозиторий и весь процесс его работы бесшовно интегрируется в уже имеющиеся процессы разработки и действия команд ИТ и ИБ. Мы внедряем алгоритм обеспечения безопасности так, чтобы это не помешало уже настроенным процессам».
Во время внедрения репозитория эксперты Angara Security разрабатывают регламент взаимодействия подразделений и настраивают правила сканирования с учетом особенностей приложений заказчика. В случае если разработчик вносит изменения в код, автоматически запускается повторная проверка кода.
«В процессе разработки важно, чтобы ошибки и уязвимости были выявлены как можно раньше и не влияли на следующие спринты. Если же накануне релиза обнаружится уязвимость, которая позволит легко взломать систему, что принесет репутационный и финансовый ущерб компании, то разработчикам придется отложить дату выпуска приложения», — подчеркивает Андрей Макаренко.
Чтобы обеспечить функционирование инфраструктуры для разработки ПО, используются российские средства защиты информации, сертифицированные ФСТЭК. Стек решений включает коммерческие сканеры российских разработчиков, специализированные решения по DevSecOps, решения по защите микросервисной архитектуры.
По итогам интеграции доверенного репозитория в ряде проектов в финтехсекторе удалось сократить сроки разработки бизнес-приложений и микросервисов за счет того, что был снижен объем кода, который вернули на доработку. Еще один дополнительный эффект — сокращение времени и рабочего ресурса IT-специалистов на исправление ранее допущенных ошибок в разработке.
Формат доверенного репозитория дополняет другие решения для информационной безопасности IT-разработки: аудит защищенности DevOps-инфраструктуры, анализ кода, адаптацию точечных open-source-инструментов и внедрение средств защиты на платформах для управления контейнеризированными средами.
27.02.2024