Forskare upptäckte en kraftig ökning av sårbara beroenden i mjukvaruprojekt, vilket väcker nya frågor kring säkerheten i mjukvaruleveranskedjan. Rapporten visar att osäkra beroenden nu förekommer betydligt oftare i företagens utvecklingsmiljöer än tidigare år.
Moderna applikationer är starkt beroende av tredjepartsbibliotek, ramverk och komponenter med öppen källkod. Samtidigt växer beroendeekosystemen snabbt, vilket gör det allt svårare för organisationer att upptäcka sårbar mjukvara som döljer sig i komplexa projekt.
Forskare såg en sjufaldig ökning
Rapporten identifierade en sjufaldig ökning av sårbara beroenden i utvecklarprojekt under det senaste året. Forskarna analyserade kodarkiv, pakethanterare och utvecklingsflöden i företagsmiljöer för att mäta problemets omfattning.
Utredarna upptäckte att många projekt fortfarande importerar föråldrade eller osupporterade paket till produktionssystem. I flera fall ärvde utvecklare sårbarheter indirekt genom kedjor av inbäddade beroenden utan att känna till riskerna.
Forskarna förklarade att moderna applikationer kan innehålla tusentals externa paket. Därför har det blivit allt svårare för utvecklingsteam att hålla varje beroende uppdaterat och övervakat.
Attacker mot mjukvaruleveranskedjan fortsätter öka
Ökningen av sårbara beroenden speglar större problem inom säkerheten för mjukvaruleveranskedjan. Cyberkriminella riktar sig allt oftare mot ekosystem med öppen källkod eftersom ett enda komprometterat paket kan sprida skadlig kod till tusentals system.
Forskare har redan dokumenterat attacker som involverar skadliga paketuppladdningar, kapade utvecklarkonton och så kallade dependency confusion-kampanjer. När angripare komprometterar ett betrott paket kan automatiska uppdateringar och CI/CD-pipelines snabbt sprida skadlig kod till företagsmiljöer.
Rapporten varnar också för att många organisationer fortfarande prioriterar snabb utveckling framför granskning av beroenden och långsiktigt underhåll av paket.
Utvecklare har svårt att få överblick
Forskarna lyfte även fram stora problem med synlighet i moderna mjukvarumiljöer. Många organisationer saknar fullständiga inventeringar över vilka beroenden som används i interna applikationer och produktionssystem.
Transitiva beroenden fortsätter dessutom att skapa problem. Utvecklare kan säkra direkta paket men samtidigt missa sårbara komponenter som installeras automatiskt via sekundära beroenden.
Rapporten visar även att patchhanteringen fortfarande varierar kraftigt mellan olika utvecklingsteam. Vissa organisationer fortsätter använda osupporterade versioner eftersom uppdateringar kan skapa kompatibilitetsproblem eller kräva omfattande tester.
Säkerhetsexperter rekommenderar därför allt oftare automatiserad beroendeskanning, software bills of materials och striktare kontroller för paketverifiering för att minska riskerna i leveranskedjan.
Ekosystem med öppen källkod står under press
Mjukvara med öppen källkod driver fortfarande en stor del av dagens företagsinfrastruktur. De flesta applikationer är idag starkt beroende av community-underhållna ramverk och externa bibliotek.
Samtidigt som öppen källkod driver innovation framåt varnar forskare för att utvecklingen också skapar nya säkerhetsrisker. Mindre utvecklarteam saknar ofta resurser för att övervaka sårbarheter, granska misstänkta bidrag eller reagera snabbt på nya hot.
Angripare fortsätter därför att bevaka populära ekosystem i jakt på övergivna projekt, svaga utvecklarkonton och möjligheter att injicera skadlig kod i betrodda paket.
Slutsats
Ökningen av sårbara beroenden visar hur säkerheten i mjukvaruleveranskedjan blir allt mer komplex för organisationer världen över. Moderna applikationer är beroende av enorma ekosystem med tredjepartskomponenter som samtidigt utökar attackytan för cyberkriminella. Forskare anser därför att organisationer måste förbättra synligheten kring beroenden, patchhantering och verifiering av paket för att minska långsiktiga säkerhetsrisker.
0 svar till ”Sårbara beroenden ökade sju gånger i utvecklarprojekt”