Forskere opdagede en kraftig stigning i sårbare afhængigheder i softwareprojekter, hvilket skaber nye bekymringer om sikkerheden i softwareforsyningskæden. Rapporten viser, at usikre afhængigheder nu optræder langt oftere i virksomheders udviklingsmiljøer end tidligere år.
Moderne applikationer er stærkt afhængige af tredjepartsbiblioteker, frameworks og open source-komponenter. Samtidig fortsætter afhængighedsøkosystemerne med at vokse, hvilket gør det stadig sværere for organisationer at opdage sårbar software skjult i komplekse projekter.
Forskere registrerede en syvdobling
Rapporten identificerede en syvdobling af sårbare afhængigheder i udviklerprojekter det seneste år. Forskerne analyserede repositories, pakkestyringsværktøjer og udviklingsprocesser i virksomhedsmiljøer for at måle problemets omfang.
Efterforskerne fandt, at mange projekter stadig importerer forældede eller ikke-understøttede pakker til produktionssystemer. I flere tilfælde arvede udviklere sårbarheder indirekte gennem kæder af indlejrede afhængigheder uden at være klar over eksponeringen.
Forskerne forklarede, at moderne applikationer kan indeholde tusindvis af eksterne pakker. Derfor er det blevet stadig vanskeligere for udviklingsteams at holde alle afhængigheder opdaterede og overvågede.
Angreb mod softwareforsyningskæden fortsætter med at vokse
Stigningen i sårbare afhængigheder afspejler bredere problemer inden for sikkerheden i softwareforsyningskæden. Cyberkriminelle retter i stigende grad angreb mod open source-økosystemer, fordi én kompromitteret pakke kan sprede skadelig kode til tusindvis af systemer.
Forskere har allerede dokumenteret angreb, der involverer ondsindede pakkeuploads, kaprede udviklerkonti og såkaldte dependency confusion-kampagner. Når angribere kompromitterer en betroet pakke, kan automatiske opdateringer og CI/CD-pipelines hurtigt sprede den skadelige kode til virksomhedsmiljøer.
Rapporten advarer også om, at mange organisationer stadig prioriterer hurtig udvikling frem for kontrol af afhængigheder og langsigtet vedligeholdelse af pakker.
Udviklere kæmper med manglende overblik
Forskerne fremhævede også store udfordringer med synlighed i moderne softwaremiljøer. Mange organisationer mangler komplette oversigter over, hvilke afhængigheder der findes i interne applikationer og produktionssystemer.
Transitive afhængigheder fortsætter desuden med at skabe problemer. Udviklere kan sikre direkte pakker, mens de samtidig overser sårbare komponenter, der installeres automatisk gennem sekundære afhængigheder.
Rapporten viser også, at patchhåndtering fortsat varierer meget mellem forskellige udviklingsteams. Nogle organisationer bruger stadig ikke-understøttede versioner, fordi opdateringer kan skabe kompatibilitetsproblemer eller kræve omfattende test.
Sikkerhedseksperter anbefaler derfor i stigende grad automatiseret afhængighedsscanning, software bills of materials og strengere kontroller for pakkeverificering for at reducere risikoen i forsyningskæden.
Open source-økosystemer er under pres
Open source-software driver fortsat en stor del af den moderne virksomheds infrastruktur. De fleste applikationer er i dag stærkt afhængige af community-vedligeholdte frameworks og eksterne biblioteker.
Samtidig med at open source accelererer innovation, advarer forskere om, at udviklingen også skaber nye sikkerhedsrisici. Mindre udviklerteams mangler ofte ressourcerne til at overvåge sårbarheder, gennemgå mistænkelige bidrag eller reagere hurtigt på nye trusler.
Angribere fortsætter derfor med at overvåge populære økosystemer i jagten på forladte projekter, svage udviklerkonti og muligheder for at indsætte skadelig kode i betroede pakker.
Konklusion
Stigningen i sårbare afhængigheder viser, hvordan sikkerheden i softwareforsyningskæden bliver stadig mere kompleks for organisationer verden over. Moderne applikationer afhænger af enorme økosystemer af tredjepartssoftware, som samtidig udvider angrebsfladen for cyberkriminelle. Forskere mener derfor, at organisationer skal forbedre synligheden omkring afhængigheder, patchhåndtering og verificering af pakker for at reducere langsigtede risici i forsyningskæden.
0 svar til “Sårbare afhængigheder steg syv gange i udviklerprojekter”