Forskere oppdaget en kraftig økning i sårbare avhengigheter i programvareprosjekter, noe som skaper nye bekymringer rundt sikkerheten i programvareforsyningskjeden. Rapporten viser at usikre avhengigheter nå dukker opp langt oftere i bedrifters utviklingsmiljøer enn tidligere år.
Moderne applikasjoner er sterkt avhengige av tredjepartsbiblioteker, rammeverk og komponenter med åpen kildekode. Samtidig fortsetter avhengighetsøkosystemene å vokse, noe som gjør det stadig vanskeligere for organisasjoner å oppdage sårbar programvare skjult i komplekse prosjekter.
Forskere rapporterte en syvdobling
Rapporten identifiserte en syvdobling av sårbare avhengigheter i utviklerprosjekter det siste året. Forskerne analyserte kodearkiver, pakkebehandlere og utviklingsprosesser i bedriftsmiljøer for å måle omfanget av problemet.
Etterforskerne fant at mange prosjekter fortsatt importerer utdaterte eller ikke-støttede pakker inn i produksjonssystemer. I flere tilfeller arvet utviklere sårbarheter indirekte gjennom kjeder av nestede avhengigheter uten å være klar over eksponeringen.
Forskerne forklarte at moderne applikasjoner kan inneholde tusenvis av eksterne pakker. Derfor har det blitt stadig vanskeligere for utviklingsteam å holde alle avhengigheter oppdatert og overvåket.
Angrep mot programvareforsyningskjeden fortsetter å øke
Økningen i sårbare avhengigheter gjenspeiler større problemer innen sikkerhet i programvareforsyningskjeden. Cyberkriminelle retter seg i økende grad mot økosystemer med åpen kildekode fordi én kompromittert pakke kan spre skadelig kode til tusenvis av systemer.
Forskere har allerede dokumentert angrep som involverer opplasting av ondsinnede pakker, kaprede utviklerkontoer og såkalte dependency confusion-kampanjer. Når angripere kompromitterer en betrodd pakke, kan automatiske oppdateringer og CI/CD-pipelines raskt spre skadelig kode inn i bedriftsmiljøer.
Rapporten advarer også om at mange organisasjoner fortsatt prioriterer rask utvikling fremfor kontroll av avhengigheter og langsiktig vedlikehold av pakker.
Utviklere sliter med oversikt
Forskerne trakk også frem store utfordringer knyttet til synlighet i moderne programvaremiljøer. Mange organisasjoner mangler fullstendige oversikter over hvilke avhengigheter som finnes i interne applikasjoner og produksjonssystemer.
Transitive avhengigheter fortsetter dessuten å være et stort problem. Utviklere kan sikre direkte pakker, men samtidig overse sårbare komponenter som installeres automatisk gjennom sekundære avhengigheter.
Rapporten viser også at patchhåndtering fortsatt varierer betydelig mellom ulike utviklingsteam. Enkelte organisasjoner bruker fortsatt ikke-støttede versjoner fordi oppdateringer kan skape kompatibilitetsproblemer eller kreve omfattende testing.
Sikkerhetseksperter anbefaler derfor stadig oftere automatisert avhengighetsskanning, software bills of materials og strengere kontroller for pakkeverifisering for å redusere risikoen i forsyningskjeden.
Økosystemer med åpen kildekode er under press
Programvare med åpen kildekode driver fortsatt en stor del av dagens bedriftsinfrastruktur. De fleste applikasjoner er nå sterkt avhengige av community-vedlikeholdte rammeverk og eksterne biblioteker.
Samtidig som åpen kildekode driver innovasjon fremover, advarer forskere om at utviklingen også skaper nye sikkerhetsrisikoer. Mindre utviklerteam mangler ofte ressursene som trengs for å overvåke sårbarheter, gjennomgå mistenkelige bidrag eller reagere raskt på nye trusler.
Angripere fortsetter derfor å overvåke populære økosystemer på jakt etter forlatte prosjekter, svake utviklerkontoer og muligheter til å injisere skadelig kode i betrodde pakker.
Konklusjon
Økningen i sårbare avhengigheter viser hvordan sikkerheten i programvareforsyningskjeden blir stadig mer kompleks for organisasjoner over hele verden. Moderne applikasjoner er avhengige av enorme økosystemer med tredjepartsprogramvare som samtidig utvider angrepsflaten for cyberkriminelle. Forskere mener derfor at organisasjoner må forbedre synligheten rundt avhengigheter, patchhåndtering og verifisering av pakker for å redusere langsiktig risiko i forsyningskjeden.
0 responses to “Sårbare avhengigheter økte syv ganger i utviklerprosjekter”