Solar appScreener выявляет уязвимости и НДВ в Open Source-проектах

По итогам сканирования, инструмент SAST-анализа выделяет элементы кода с уязвимостями и предлагает рекомендации по их устранению. Для снижения числа ложных срабатываний (false positive) и пропуска уязвимостей (false negative) используется технология Fuzzy Logic Engine, основанная на математическом аппарате нечеткой логики.

По данным масштабного исследования Red Hat, из 950 опрошенных ИТ-руководителей 95% отмечают значение Open Source для программной инфраструктуры их предприятий как стратегическое. В России, по прогнозам  Accenture и фонда «Сколково», Open Source будут использовать более 90% компаний к 2026 году. Учитывая уход иностранных вендоров ПО с российского рынка, востребованность Open Source и его проникновение в ландшафт инфраструктуры предприятий в 2022 году возрастет резко и многократно.

Опасность использования Open Source решений в том, что они развиваются силами небезразличных участников отрасли, которые тем не менее не гарантируют защищенности разрабатываемого или дополняемого ПО. Ранее аналитики «Ростелеком-Солар» отмечали, что в 50% приложений с открытым исходным кодом для ПК содержатся критические уязвимости.

Чтобы убедиться в том, какую угрозу несут уязвимости в Open Source, достаточно вспомнить историю с Apache Log4j – библиотекой, которая используется миллионами корпоративных приложений и Java-серверами. Уязвимости в ней позволяли злоумышленникам с легкостью выполнить произвольный код на сервере или устройстве, чтобы похитить данные или внедрить вредоносную программу.

«Современную разработку невозможно представить без широкого применения компонентов на базе открытого исходного кода. В условиях, когда Open Source решения могут представлять большую опасность, анализ защищенности свободно распространяемых библиотек и приложений становится обязательным условием их использования, – подчеркивает Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар». – Поскольку Open Source развивается широким ИТ-сообществом, не исключена ситуация, когда под видом улучшения злоумышленники могут сами добавить в ту или иную библиотеку элемент кода с уязвимостью».