Специалисты компании Sonatype зарегистрировали за последний год более 88 тыс. случаев атак на каналы поставки программ с использованием вредоносных сторонних компонентов. Это на 633% больше, чем в прошлом году. Значительно выросло также количество так называемых «переходящих» уязвимостей, которые появляются в программах из-за использования уязвимых сторонних компонентов. Чрезвычайно важно иметь возможность проследить все цепочки поставки программ и всех используемых ими компонентов, подчеркивают в Sonatype. Без этого сложно своевременно реагировать на обнаружение уязвимостей. Многие компании, например, вплоть до осени текущего года не завершили устранение уязвимостей, связанных с библиотекой Log4Shell. По оценкам Sonatype, по состоянию на август на исправленную версию заменено лишь около 65% установок Log4Shell. Но при этом нужно еще учесть, что в действительности уязвимость находится в Java-классе JndiManager, входящем в состав 783 других проектов, подчеркивают в Sonatype.
Атаки на каналы поставки программ стали разнообразнее. Одним из самых популярных методов является замещение зависимостей. Многие компании используют компоненты собственной разработки, размещая их только в собственных репозиториях. Но программы установки компонентов обычно ищут свежие версии как в публичных, так и в локальных репозиториях. Если злоумышленники узнают имя и версию компонента, они могут поместить в публичный репозиторий свой вредоносный компонент под тем же именем и с более свежей версией, в результате чего программа установки использует именно его. Часто применяются также методы захвата имен публично доступных компонентов или внедрения вредоносного кода в компоненты с открытым исходным кодом.
Большинство уязвимостей, обнаруженных специалистами Sonatype, оказались «переходящими». Поэтому они рекомендуют при выборе компонентов отдавать предпочтение тем, что имеют меньше своих зависимостей, а также быстро обновляются при выходе новых версий используемых ими сторонних компонентов.