Сервис данных об уязвимостях Kaspersky Open Source Software Threats Data Feed теперь доступен пользователям Code Scoring. Это облегчит выбор надежных и доверенных Open Source компонентов и повысит безопасность цепочки поставок программного обеспечения.

Kaspersky Open Source Software Threats Data Feed поставляет уникальные данные, которых нет в публичных базах уязвимостей. Речь идет в том числе о компонентах с недекларируемыми возможностями, например, отображающими нежелательную информацию, обусловленную геополитикой, и пакетах, содержащих небезопасное ПО, такое как криптомайнеры или вредоносные инструменты. Информация доставляется заказчику в формате JSON. Code Scoring представляет собой удобный инструмент для использования этих данных: он автоматизирует проверку компонентов с открытым исходным кодом и предоставляет разработчикам результаты анализа. 

Использование готовых пакетов при разработке — общепринятая практика, которая позволяет экономить время на создании программного обеспечения. Однако важно помнить о рисках атак на цепочку поставок, которые особенно возросли в 2022 году, когда были обнаружены множество скомпрометированных и вредоносных пакетов в популярных репозиториях. Компаниям важно проверять сторонние компоненты, чтобы снизить риски их использования. Оценка рисков безопасности при использовании opensource осуществляется, как правило, посредством SCA-систем, которые собирают открытую информацию из международных баз данных уязвимостей. 

Code Scoring — первое российское OSA/SCA-решение, которое обеспечивает безопасность использования Open Source-компонентов и защиту цепочки поставки на всех этапах жизненного цикла ПО. Решение позволяет собирать и управлять информацией об используемых компонентах с открытым исходным кодом и отслеживать риски безопасности, а также лицензионные и операционные риски в соответствии с настроенными политиками. До интеграции в решении CodeScoring использовались сведения об уязвимостях из 15 экосистемных баз уязвимостей, таких как, например, NIST National Vulnerability Database (NVD), Github Security Advisory (GHSA), Open Source Vulnerabilities (OSV) и Sonatype OSS Index. Интеграция с «Лабораторией Касперского» дает возможность получать больше информации об открытых пакетах и настраивать более эффективные политики безопасности.

С какими угрозами могут столкнуться разработчики при использовании ПО с открытым исходным кодом? На текущий момент Kaspersky Open Source Software Threats Data Feed содержит информацию примерно о 42 тысячах уязвимостях в более чем 10 тысячах пакетов, и 11 тысячах вредоносных или содержащих потенциально опасные хакерские утилиты пакетов с открытым исходным кодом, которые размещены в популярных репозиториях. Фид содержит информацию о вредоносных и уязвимых пакетах, которые были обнаружены в популярных репозиториях. При этом вредоносные компоненты чаще всего встречались в репозиториях Npm и PyPi.

Распределение по угрозам в уязвимых пакетах, данные «Лаборатории Касперского»

«Безопасность пользователей — приоритет для нашей компании. В последнее время бизнес активно внедряет решения, при разработке которых использовалось ПО с открытым исходным кодом. Мы признательны Profiscope за интеграцию нашего сервиса в решение Code Scoring. В результате пользователи получили полнофункциональное решение композиционного анализа, усиленное 25-летней экспертизой "Лаборатории Касперского" в области кибербезопасности. Это оказывает позитивное влияние на повышение уровня защищенности продуктов и систем заказчиков», — подчеркнул Олег Шабуров, менеджер по развитию бизнеса Kaspersky Threat Intelligence.

«Сотрудничество с "Лабораторией Касперского" — серьезный шаг для нашего общего дела в сфере отечественной кибербезопасности, — говорит Алексей Смирнов, основатель и генеральный директор Profiscope. — "Лаборатория Касперского" обладает глубокой экспертизой в выявлении вредоносных программ и работе с уязвимыми компонентами. Наша интеграция дает разработчикам исчерпывающую информацию о безопасности Open Source-компонентов, важную для российских компаний особенно в текущих условиях. Она позволяет усилить механизмы защиты цепочки поставки от попадания вредоносных компонентов в контур разработки, предоставлять дополнительную информацию по уязвимым компонентам нашим клиентам и в конечном счете создавать безопасные ИТ-продукты, укрепляющие национальный технологический суверенитет».

О компании Profiscope

Компания Profiscope занимается созданием решений для автоматизированного аудита исходных кодов с применением современных подходов анализа данных программной инженерии. Изначально решение Code Scoring было создано для внутренних нужд и применялось для проведения технических аудитов программных продуктов в области

безопасности, оценки качества кода и авторского состава. В январе 2021 года Profiscope выпустила коммерческую версию Code Scoring на рынок инструментов безопасной разработки. Code Scoring — отечественное решение композиционного анализа программных продуктов (OSA/SCA), ориентированное на банки, IT-компании, телеком-операторов и другие организации, для которых важны вопросы кибербезопасности и качества собственных продуктов. 

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. Глубокие экспертные знания и многолетний опыт компании лежат в основе защитных решений и сервисов нового поколения, обеспечивающих безопасность бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей. Обширное портфолио «Лаборатории Касперского» включает в себя передовые технологии для защиты конечных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Технологии «Лаборатории Касперского» защищают более 400 миллионов пользователей и 220 тысяч корпоративных клиентов во всём мире. Подробнее на www.kaspersky.ru.

*Пакеты, содержащие политические лозунги, либо намеренно меняющие свою функциональность в определенных регионах.