Kaspersky özünün yeni məlumat fidini (lentini) təqdim edib – Kaspersky Open Source Software Threats Data Feed. Bu, üçüncü tərəf komponentlərində və açıq mənbə şifrəli proqramlarda əlfəcinləri aşkar etməyə imkan verəcək. Bu xidmətin tərkib hissəsi olan zəifliklər, zərərli şifrələr və elan edilməmiş xüsusiyyətləri olan paketlər haqqında müasir məlumatlar sayəsində şirkətlər Open Source-dan (Açıq Mənbə) istifadə risklərini minimuma endirə biləcəklər.
Hazırda Kaspersky Open Source Software Threats Data Feed-də populyar məlumat anbarlarında yerləşdirilən üç minə yaxın kövrək və zərərli paket haqqında məlumat var. Üstəlik, onlarla paketdə elan olunmamış xüsusiyyətlər, o cümlədən siyasi yönümlü arzuolunmaz məlumatların təsviri qeydə alınıb. Təhlükə riski daşıyan komponentlərdən bəziləri istifadəçilər tərəfindən on minlərlə dəfə yüklənib. Kaspersky-nin məlumatına görə, Open Source paketlərində aşkar edilən zəifliklərin təxminən 35%-də yüksək (High), təxminən 10%-də isə həyati (Critical) təhlükə səviyyəsi mövcuddur.
Tərtibatçılar tapşırıqlarını yerinə yetirmək üçün tez-tez açıq mənbə paketlərindən istifadə edirlər. Bu, onlara standart funksiyalar yaradarkən vaxt və resurslara qənaət edərək mürəkkəb layihələrə və fərdi proqram təminatı tələblərinə fokuslanmağa imkan verir. Mütəxəssislərin öz layihələri üçün uyğun komponent tapa biləcəyi bir neçə böyük məlumat anbarı var. Bununla belə, bu cür paketlərdə təsadüfi və ya qəsdən yaradılmış zəifliklər, həmçinin zərərli şifrə ola bilər. Üstəlik, bəzən paketi yaradanlar proqramın icra oluna bilən şifrəsini qəsdən onun funksionallığını qoruyan, lakin təhlili, əməliyyat alqoritmlərini başa düşməyi və bölünmə zamanı dəyişiklik etməyi çətinləşdirən formaya gətirirlər.
Kaspersky Open Source Software Threats Data Feed ilə tərtibatçılar həssas və təhlükəli paketlərdən qaça bilərlər. Buraya siyasi şüarları ehtiva edən və ya müəyyən bölgələrdə öz funksionallığını dəyişən paketlər daxildir (məsələn, Rusiya Federasiyasında funksionallığı bloklayırlar). Kaspersky-nin yeni məlumat lenti “JSON” formatında təqdim olunur.
“Proqramın tərtibatı zamanı hazır paketlərdən istifadə adi bir təcrübədir. Bu, proqram təminatı yaradarkən çox vaxta qənaət edir. Bununla belə, tədarük zəncirinə, xüsusilə 2022-ci ildə populyar anbarlarda yüzlərlə təhlükəli və zərərli paketin aşkar edildiyi zaman artan, hücumların ortaya çıxardığı risklərdən xəbərdar olmaq vacibdir. Həssas və ya hətta zərərli paketlərin qoşulması riskini azaltmaq üçün həllimizdən istifadə etməklə onların üçüncü tərəf komponentlərini yoxlamağı təklif edirik”, – deyə Kaspersky-nin kibertəhlükəsizlik üzrə mütəxəssisi Denis Parinov bildirir.