Согласно ежегодному отчету Black Duck Open Source Software and Risk Analysis (OSSRA) среднее количество уязвимостей в открытом исходном коде за последний год удвоилось.
В отчете, в котором на протяжении десяти лет ежегодно анализируется состояние программного обеспечения с открытым исходным кодом, было обнаружено в среднем 581 уязвимость на каждое приложение с открытым исходным кодом.
В отчете отмечается, что результаты этого года свидетельствуют о переломном моменте: бурное развитие разработок с использованием искусственного интеллекта коренным образом изменило картину рисков для программного обеспечения и базовые требования к соблюдению новых нормативных инициатив, таких как Закон ЕС о киберустойчивости (CRA) и Закон о цифровой операционной устойчивости (DORA).
Актуальность этих выводов подкрепляется реальными данными об атаках: 65% организаций, опрошенных Black Duck в 2025 году, сообщили, что в прошлом году подверглись атаке на цепочку поставок программного обеспечения. Это активные угрозы, которые затрагивают предприятия во всех отраслях.
В отчете изменения в текущей ситуации с программным обеспечением с открытым исходным кодом прямо связываются с искусственным интеллектом. Традиционный подход к безопасности приложений был разработан для мира, в котором Люди писали код со скоростью человека, поясняется в отчете, тогда как сегодня код, генерируемый ИИ, использует открытый исходный код в беспрецедентных масштабах. Команды по безопасности приложений с трудом поспевают за этими помощниками по программированию.
Согласно отчету, эти помощники стали столь же важной частью инструментария разработчиков, как компилятор или отладчик. Отчет также показывает, что 57% организаций уже используют Ai-помощников на базе ИИ, а 76% компаний, которые запрещают своим разработчикам использовать Ai-помощников, признают, что они все равно используются.
ИИ стимулирует системные изменения
Ключевой вывод из отчета OSSRA за этот год заключается в том, что ИИ действительно изменил масштаб и скорость появления рисков, связанных с программным обеспечением, отмечает Диана Келли, директор по информационной безопасности Noma Security, компании, занимающейся безопасностью жизненного цикла ИИ в Тель-Авиве, Израиль.
Тот факт, что количество уязвимостей на одну кодовую базу увеличилось более чем в два раза за один год, свидетельствует о системных изменениях. Разработка с помощью ИИ ускоряет создание кода, распространение зависимостей и интеграцию моделей быстрее, чем могут справиться традиционные методы обеспечения безопасности и управления.
Для команд по безопасности, добавила она, видимость является непреложным условием. Организации должны точно знать, что находится в их программном обеспечении, включая компоненты с открытым исходным кодом, транзитивные зависимости и встроенные модели ИИ.
Хотя открытый исходный код сейчас лежит в основе почти всех корпоративных приложений, большинство организаций по-прежнему рассматривают его как пассивную зависимость, а не как активный код, которым они владеют, пояснил Энсар Секер, директор по информационной безопасности SOCRadar, компании по анализу угроз в Ньюарке, штат Делавэр.
«Вы не можете передать ответственность на аутсорсинг, если это в вашем стеке, это ваш риск. Сокращение уязвимостей начинается с прозрачности и ответственности».
Проблема масштабирования
Согласно отчету, среднее количество уязвимостей на кодовую базу увеличилось более чем в два раза, с 280 до 581. В то же время количество компонентов на приложение выросло на 30%. Это говорит о том, что это не просто проблема уязвимости. Это проблема масштабирования. Мы стали очень хороши в поиске проблем. Но мы далеко не так хороши в их устранении в масштабе.
- Иан Амит, основатель и генеральный директор Gomboc, нью-йоркского поставщика автоматизированных решений для обеспечения безопасности облачной инфраструктуры
Для уменьшения уязвимостей необходимо перейти от генерации предупреждений к автоматизированному устранению в соответствии с политиками, утверждает он. Командам по безопасности нужен контекст, информация об уязвимостях и способность систематически устранять классы рисков в коде, а не просто сообщать о них.
Без этого перехода, по его словам, количество уязвимостей будет продолжать расти.
Примечательно, что, несмотря на широкую осведомленность о рисках ИИ, количество уязвимостей на одно приложение фактически удвоилось за 1 год, что свидетельствует о том, что скорость генерации кода ИИ не только превосходит скорость проверки людьми, но и активно подавляет традиционные средства контроля DevSecOps, добавил Рам Варадараджан, генеральный директор Acalvio, компании по кибер-обману и активной защите в Санта-Кларе, Калифорния.
Мы не можем ожидать, что риски, связанные со скоростью работы машин, будут устраняться с помощью реакций, скорость которых соответствует скорости человека. Будущее требует среды с нулевым доверием, что, в свою очередь, требует кибербезопасности в режиме реального времени, основанной на ИИ: триггеры, обман, теория игр. К сожалению, наша старая модель кибербезопасности официально устарела.
Хотя 581 уязвимость на приложение звучит драматично, это в основном отражает зависимость, которая охватывает несколько уровней, пояснил Саумитра Дас, вице-президент по инженерным вопросам в Qualys, поставщике облачных ИТ-, безопасности и решений по обеспечению соответствия в Фостер-Сити, Калифорния.
По его мнению, рост на 107% по сравнению с предыдущим годом отражает сложную ситуацию, а не небрежное отношение к разработке. Это также отражает доминирование кодирования vibe с использованием библиотек из любых доступных источников, насколько это возможно быстро, что увеличивает качество кода.
Более серьезной проблемой является видимость, сказал он. Большинство организаций не знают, что действительно работает в производстве, а искусственный интеллект усугубляет эту непрозрачность. Только 24% всесторонне проверяют код, сгенерированный ИИ, который часто содержит компоненты с неясным происхождением и риском лицензирования.
Взрывной рост кодовой базы
Отчет Black Duck также показал, что размер кодовой базы с открытым исходным кодом и рост зависимостей взлетели до небес: количество компонентов увеличилось на 30% по сравнению с предыдущим годом, а количество файлов на кодовую базу выросло на 74%. Это имеет последствия для безопасности приложений.
Кодирование Vibe и разработка с помощью ИИ значительно ускорили темпы генерации кода, пояснил Сунил Готтумуккала, генеральный директор Averlon, компании по облачной безопасности на базе ИИ в Редмонде, штат Вашингтон.
Эти модели обучаются на открытом исходном коде, и когда вы создаете с их помощью, они подключают все необходимые библиотеки, чтобы обеспечить требуемую вами функциональность. Они оптимизированы для получения рабочего кода, а не для аудита дерева зависимостей.
Это означает, что кодовые базы растут быстрее, чем когда-либо, но контроль безопасности не успевает за ними, продолжил он. Каждая зависимость, которую вы вводите, является потенциальной поверхностью атаки, и когда ИИ добавляет их с беспрецедентной скоростью, риск быстро усугубляется.
Рост кодовой базы и зависимостей — это классический сценарий «больше денег — больше проблем», утверждает Тим Макки, руководитель отдела стратегии рисков цепочки поставок программного обеспечения Black Duck.
Больше кода означает больше кода для тестирования. Больше зависимостей означает увеличение потенциальных решений третьих сторон, нарушающих код. Поскольку каждый фрагмент кода может легко содержать уязвимость, которая может быть использована — будь то недостаток кода или лучшая практика, которая стала плохой — чем больше у вас источников кода, тем сложнее управлять вектором атаки для любого вашего продукта.
Юридические риски и риски, связанные с лицензированием
В отчете также отмечается, что ИИ создает новые юридические риски и риски, связанные с лицензированием. Две трети проверенных кодовых баз (68%) содержали конфликты открытых лицензий — это самый большой рост в истории OSSRA, отмечается в отчете. Код, сгенерированный ИИ, усугубляет неопределенность в отношении интеллектуальной собственности и лицензирования, при этом только 54% организаций проверяют код, сгенерированный ИИ, на предмет рисков, связанных с лицензированием, и только 24% проводят комплексную оценку интеллектуальной собственности, безопасности и качества, добавляется в отчете.
Разработчики могут включать код, сгенерированный ИИ, без полной ясности в том, отражает ли он компоненты с открытым исходным кодом с конкретными лицензионными обязательствами. Это создает потенциальный риск для интеллектуальной собственности и риск несоблюдения нормативных требований, особенно в регулируемых отраслях или при коммерческом распространении программного обеспечения.
Чтобы снизить этот риск, он рекомендовал рассматривать код, сгенерированный ИИ, как код третьей стороны неизвестного происхождения. Это означает, что он должен подвергаться такому же сканированию лицензий, тестированию безопасности и проверке политик, как и любая внешняя зависимость, сказал он. Установление четких политик управления — таких как утвержденные инструменты ИИ, обязательные рабочие процессы проверки и документация о том, как используются инструменты ИИ — также помогает снизить неопределенность.
Прозрачность и отслеживаемость имеют важное значение, продолжил он, если организации могут продемонстрировать должную осмотрительность при оценке вкладов, сгенерированных ИИ, они значительно снижают риски, связанные с юридическими и нормативными требованиями.
Происхождение становится ключевым средством защиты
Мастроджакомо добавил, что главный вывод из отчета Black Duck заключается в том, что риски, связанные с программным обеспечением, все чаще становятся проблемой цепочки поставок, а не отдельного приложения.
Он пояснил, что одновременно ускоряются внедрение открытого исходного кода, рост зависимости и разработка с помощью ИИ. Наиболее эффективно этим риском будут управлять те организации, которые перейдут от реактивного исправления ошибок к проактивной прозрачности и операционной дисциплине.
Он добавил, что по мере увеличения скорости разработки будут необходимы постоянный учет, автоматизированный контроль и ответственность руководства за риски, связанные с цепочкой поставок программного обеспечения.
В отчете не отражены риски, связанные с известными злоумышленниками, утверждает Гэри Шварц, вице-президент по маркетингу NetRise, компании по обеспечению безопасности цепочки поставок программного обеспечения в Остине, Техас.
Массовое увеличение зависимостей от открытого исходного кода неизбежно приведет к тому, что злоумышленники будут скрывать свои атаки в нескольких зависимостях.
Чтобы противодействовать этому, он предложил, чтобы происхождение зависимостей от открытого исходного кода включало не только геолокацию, но и такие характеристики, как количество и своевременность вкладов, а также историю обслуживания.
Это позволит нам выявлять не только злоумышленников, но и радиус поражения атаки, определяя другие зависимости, в которые они внесли свой вклад, продолжил он.
Некоторые из атак, отмеченных в отчете, — в частности, деятельность группы Lazarus — можно обнаружить на ранней стадии, если понимать происхождение участников библиотек, сказал он. Это огромный вектор риска, который можно устранить уже сегодня.