Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Встречайте PT NAD 13.0 — систему, способную не только выявлять угрозы в сети, но и автоматически реагировать на них

Онлайн-запуск 4 июня

Ваш проект скомпрометирован из-за крошечной библиотеки, которую никто не проверял. Positive Technologies знает, как это остановить

15637
PT Fusion Positive Technologies цепочки поставок ПО открытый исходный код внешние зависимости.
Ваш проект скомпрометирован из-за крошечной библиотеки, которую никто не проверял. Positive Technologies знает, как это остановить
PT Fusion Positive Technologies цепочки поставок ПО открытый исходный код внешние зависимости.

Новые фиды доступны пользователям PT Fusion и могут применяться при расследовании инцидентов.

image

Атака на компанию всё чаще начинается не с фишингового письма и не с взлома сервера, а с обычной внешней библиотеки, которую разработчики добавили в продукт ради экономии времени. Один вредоносный пакет в цепочке зависимостей может попасть в сборку, закрепиться в инфраструктуре и долго выглядеть как нормальная часть проекта.

Positive Technologies обновила портал PT Fusion для работы с данными о киберугрозах. В сервис добавили фиды PT Supply Chain Security с данными о вредоносных, протестных и уже удалённых релизах проектов с открытым исходным кодом. Такие сведения помогают контролировать сторонние зависимости и быстрее замечать опасные компоненты в программных продуктах.

Облачный сервис PT Fusion начал распространять фиды с индикаторами компрометации в версии 1.5. В версии 1.7 базу расширили за счёт внутреннего источника PT Supply Chain Security. Теперь фиды включают не только классические коллекции угроз, но и сведения о рискованных релизах в открытых репозиториях.

Данные передаются в формате OSV, который используют инструменты безопасности при работе с уязвимостями и открытыми пакетами. Сведения регулярно обновляются и охватывают несколько крупных репозиториев пакетов. Для команд разработки и AppSec-специалистов такой источник снижает риск пропустить опасную библиотеку на этапе сборки, проверки или эксплуатации продукта.

Новые данные можно подключать к инструментам анализа состава ПО, системам dependency firewall и реестрам артефактов разработки. Анализ состава ПО показывает, какие внешние библиотеки использует приложение. Dependency firewall помогает блокировать подозрительные зависимости до попадания в проект. Реестры артефактов хранят пакеты и сборки, с которыми работают разработчики.

Фиды также пригодятся при расследовании инцидентов. Во время проверки конечного устройства специалисты могут найти установленную вредоносную или потенциально опасную зависимость. Такая находка укажет на дополнительную точку компрометации и поможет понять, как злоумышленники могли закрепиться в сети.

В Positive Technologies связывают обновление с ростом атак на цепочки поставок ПО. Риск возникает, когда вредоносный код попадает в продукт не напрямую, а через сторонний пакет, библиотеку или компонент с открытым исходным кодом. Отдельную проблему создают заброшенные проекты: после прекращения поддержки уязвимости в таких зависимостях могут оставаться без исправлений.

Фиды уже доступны пользователям PT Fusion. Данные рассчитаны на команды, которые проверяют состав ПО, контролируют зависимости и разбирают инциденты в инфраструктуре разработки.