Статический анализатор кода Solar appScreener компании «Ростелеком-Солар» выявляет уязвимости и недекларированные возможности (НДВ) в Open Source-проектах — свободно распространяемых программах, а также компонентах и библиотеках, которые используют разработчики для создания своих проектов.
По итогам сканирования, инструмент SAST-анализа выделяет элементы кода с уязвимостями и предлагает рекомендации по их устранению. Для снижения числа ложных срабатываний (false positive) и пропуска уязвимостей (false negative) используется технология Fuzzy Logic Engine, основанная на математическом аппарате нечеткой логики.
По данным масштабного исследования Red Hat, из 950 опрошенных ИТ-руководителей 95% отмечают значение Open Source для программной инфраструктуры их предприятий как стратегическое. В России, по прогнозам Accenture и фонда «Сколково», Open Source будут использовать более 90% компаний к 2026 году. Учитывая уход иностранных вендоров ПО с российского рынка, востребованность Open Source и его проникновение в ландшафт инфраструктуры предприятий в 2022 году возрастет резко и многократно.
Опасность использования Open Source решений в том, что они развиваются силами небезразличных участников отрасли, которые тем не менее не гарантируют защищенности разрабатываемого или дополняемого ПО. Ранее аналитики «Ростелеком-Солар» отмечали, что в 50% приложений с открытым исходным кодом для ПК содержатся критические уязвимости.
Чтобы убедиться в том, какую угрозу несут уязвимости в Open Source, достаточно вспомнить историю с Apache Log4j — библиотекой, которая используется миллионами корпоративных приложений и Java-серверами. Уязвимости в ней позволяли злоумышленникам с легкостью выполнить произвольный код на сервере или устройстве, чтобы похитить данные или внедрить вредоносную программу.
«Современную разработку невозможно представить без широкого применения компонентов на базе открытого исходного кода. В условиях, когда Open Source решения могут представлять большую опасность, анализ защищенности свободно распространяемых библиотек и приложений становится обязательным условием их использования, — подчеркнул Даниил Чернов, директор Центра Solar appScreener компании „Ростелеком-Солар“. — Поскольку Open Source развивается широким ИТ-сообществом, не исключена ситуация, когда под видом улучшения злоумышленники могут сами добавить в ту или иную библиотеку элемент кода с уязвимостью».