Opensource-зависимости стали одним из главных векторов атак на цепочки поставок — и это уже не теория. Positive Technologies обновили PT Fusion до версии 1.7: теперь в нём появились фиды от PT Supply Chain Security с данными о вредоносных, протестных и удалённых релизах опенсорс-проектов. Формат — OSV, стандартный для ИБ-сообщества.
Что за угрозы они покрывают. Речь о трёх категориях: пакеты с намеренно внедрённым вредоносным кодом, «протестные» релизы (когда мейнтейнер что-то встраивает из политических или личных соображений — как было с colors.js или node-ipc) и заброшенные проекты, которые никто больше не патчит. Последнее — особенно коварно: уязвимость может существовать годами, и никто её не закроет.
Где это применимо. Фиды грузятся в SCA-инструменты, dependency firewall и реестры артефактов. Отдельный сценарий — ретроспективный forensics: при расследовании инцидента можно проверить, не было ли скомпрометированной зависимости на конечных устройствах. Это меняет SCA из «проверки перед деплоем» в непрерывный мониторинг.
Для компаний, где разработка использует опенсорс (а это почти все), вопрос уже не «нужен ли нам контроль зависимостей», а «насколько актуальна наша база данных угроз». Фиды в PT Fusion обновляются регулярно — это важнее самого факта их наличия.
Источники: