До 40% российских программ создаются с использованием потенциально опасных фрагментов открытого исходного кода. Об этом «Газете.Ru» рассказали в ИБ-компании Swordfish Security, проанализировав около 300 проектов в нескольких российских компаниях. При этом, по данным специалистов, в итоге больше трети таких программных продуктов на выходе имеют критические уязвимости.
«Такие опасные слабости потенциально открывают злоумышленникам возможности для реализации атак. К примеру, ряд критических уязвимостей, содержащихся в библиотеках (наборах фрагментов кода. — «Газета.Ru»), позволяет выполнять произвольный код (в том числе с вредоносной функцией. — «Газета.Ru») на стороне сервера, что может повлечь за собой его полную компрометацию и дать возможность попасть в сеть организации», — рассказал ведущий архитектор Swordfish Security Юрий Шабалин.
По его словам, среди уязвимостей, обнаруженных в открытом коде, команде Swordfish Security в рамках исследования часто встречались те, которые позволяют вызвать полный отказ в работе сервиса и парализовать работу крупной организации. Кроме того, ими были обнаружены фрагменты открытого кода, предоставляющие автору несанкционированный доступ к криптовалютным кошелькам пользователей.
В Swordfish Security отметили, что уязвимый открытый код встречался в российских продуктах разных категорий: мобильные приложения, десктопные программы и не только. Однако в подавляющем большинстве случаев специалисты компании находили бреши именно в веб-сервисах.
Подробнее о проблемах, которые создает использование открытого исходного кода в российском ПО, – в эксклюзивном материале «Газеты.Ru».