Скрытые зависимости представляют невидимые риски в современных программных системах
- Анализ на уровне функций сокращает ненужные исправления уязвимостей на 90%
- Задержки с выпуском рекомендаций оставляют системы подверженными потенциальным атакам
Организации все больше полагаются на сторонние компоненты и открытые библиотеки для ускорения процессов разработки. Эксперты предупреждают, что обеспечение безопасности этих зависимостей становится важной задачей.
Отчет Endor Labs за 2024 год анализирует проблемы управления зависимостями и уязвимостями программного обеспечения. Исследование, охватывающее семь языков программирования, выявило, что меньше 10% уязвимостей в 2024 году считались реальными угрозами.
«Многие организации испытывают сложности в управлении рисками зависимостей», — отмечает представитель Endor Labs. «Они погружены в предупреждения об уязвимостях, множество из которых не представляют актуальной угрозы. Изучение этих предупреждений дорого обходится как командам безопасности, так и командам разработчиков».
Управление зависимостями
Управление зависимостями — непростая задача, поскольку большинство программных проектов базируется на множестве уровней зависимостей, включая библиотеки собственного кода, фреймворки и операционные зависимости, поддерживающие производственные окружения. Любая уязвимость в этом сложном взаимодействии компонентов может создать значительные риски для безопасности организации.
Использование компонентов сторонних производителей, особенно открытого программного обеспечения, стало обычной практикой в современной разработке. Это позволяет быстрее реализовать проекты благодаря готовым функциям, но с этим связана уникальная проблема уязвимости внешних компонентов.
Многие проблемы безопасности исходят от «фантомных зависимостей» — скрытых компонентов, которые не документируются явным образом в коде программы и могут вносить уязвимости, которые традиционные средства не способны обнаружить.
Почти 70% рекомендаций по управлению уязвимостями, таких как базы данных NIST, публикуются после выпуска соответствующего патча безопасности, с медианной задержкой в 25 дней.
Endor отмечает, что почти половина рекомендаций в публичных базах данных уязвимостей не содержит деталей по коду, а только 2% предоставляют информацию об уязвимостях на уровне функций. Это затрудняет работу команд безопасности в определении возможности эксплуатации известных уязвимостей.
От анализа 1,250 обновлений показано, что 24% исправлений требовали обновление главной версии, в то время как 6% уязвимостей могли быть устранены минорными обновлениями.
Endor подчеркивает, что не все уязвимости представляют одинаковую угрозу. Организациям рекомендуется сосредоточиться на наиболее доступных и эксплуатируемых уязвимостях, ведь только около 9.5% уязвимостей в зависимостях могут быть использованы на уровне функций.
Анализ доступности, который определяет, вызывается ли уязвимая функция в зависимости кодом приложения, признан одним из наиболее эффективных методов сокращения шума в отчетах об уязвимостях. Сосредотачиваясь на уязвимостях с ясным путем к эксплуатации, организации могут уменьшить усилия по устранению почти на 90%, согласно отчету.
Источник: TechRadar
