Kaspersky® Open Source Software Threats Data Feed
Большинство разработчиков так или иначе используют пакеты ПО с открытым исходным кодом (Open Source-ПО) в цикле разработки, и часто по умолчанию уверены в безопасности таких пакетов. Тем не менее Open Source-ПО нередко содержит серьезные уязвимости и намеренно внедренные угрозы, что может привести к компрометации продуктов, включающие в себя такие пакеты, и сделать их уязвимыми для хакерских атак, включая особо опасные атаки через цепочки поставок.
По мере роста числа и вредоносности киберугроз классическая методология разработки ПО – DevOps – начала меняться в сторону подхода, ставящего во главу угла безопасность и получившего название DevSecOps. Согласно этому подходу, меры кибербезопасности реализуются начиная с этапа планирования архитектуры, а также на этапах разработки, тестирования и т.д. Очевидно, что подобные меры обязаны применяться и к любому Open Source-ПО, используемому в ходе разработки.
«Лаборатория Касперского» разработала инфоподписку, призванную стать ценным подспорьем в реализации принципа «безопасность превыше всего» при работе с Open Source-ПО – Kaspersky Open Source Software Threats Data Feed. Это подписка на текстовые (без бинарных файлов) наборы данных, информирующие об угрозах и уязвимостях в миллионах Open Source-пакетов, известных «Лаборатории Касперского».
Данная подписка информирует о следующих типах угроз:
- Пакеты, содержащие уязвимости
- Пакеты, содержащие вредоносный код
- Пакеты с небезопасным ПО, в том числе крипто-майнерами, хакерскими инструментами и т.д.
- Скомпрометированные пакеты, демонстрирующие политические лозунги или меняющие функциональность в зависимости от региона
Подписка содержит информацию о пакетах из следующих репозиториев*, которые регулярно сканируются:
- Pypi
- Npm
- Nuget
- Maven
- Composer
- Go
- Rpm
- Debian
Все пакеты автоматически регулярно проверяются на совпадения со следующими реестрами уязвимостей:
- GitHub Security Advisory
- CVE MITRE
- Debian Security Advisory
- CentOS Security Alerts
- RedHat Security Advisory (на этот реестр предоставляются только кросс-ссылки).
Дополнительно к списку пакетов предоставляется следующий полезный контекст:
- В части уязвимостей:
- Связь с экосистемой
- Влияние на систему (импакт)
- Списки уязвимых версий
- CPE уязвимых версий для автоматизации
- Списки рекомендованных версий с закрытыми уязвимостями
- Применимость к версиям ОС (для *nix пакетов)
- Кросс-ссылки на бюллетени безопасности
- Хэши актуальных и используемых эксплойтов
- В части вредоносных и скомпрометированных пакетов:
- Связь с экосистемой
- Влияние на систему (импакт): malware, hacktool, other
- Серьезность проблемы (severity)
- Скомпрометированные версии пакетов
- Хэши скомпрометированных версий пакетов
- CWE (Common Weakness Enumeration), пока что только на malware-пакетах
Рекомендованный сценарий использования Open Source Software Threats Data Feed таков: сравнивать пакеты из подписки с пакетами, используемыми в ходе разработки, по одному или нескольким параметрам, например, по имени пакета, по версии и т.д.
Подписка внесена в реестр Российского ПО:
https://reestr.digital.gov.ru/reestr/330369/?sphrase_id=2424828
Подписка доставляется заказчику в формате JSON.
Важно! Сравнение должно осуществляться средствами заказчика, поскольку «Лаборатория Касперского» предоставляет только текстовый набор данных.
Если вы хотите узнать о нем больше, нажмите кнопку «Связаться с нами» и укажите, что вас интересует более подробная информация о Kaspersky Open Source Software Threats Data Feed. Наш представитель вскоре свяжется с вами.