Использование открытого программного кода (OpenSource) в разработке цифровых продуктов давно стало стандартной практикой не только за рубежом, но и в России. Открытые библиотеки, модули и фреймворки позволяют ускорить создание новых программ, сократить затраты и использовать уже готовые и проверенные решения. Однако вместе с этим программисты получают и потенциальные риски, которые могут остаться незамеченными до самого запуска или даже дольше. Согласно последним данным, хакеры всё чаще используют уязвимости в российских программных продуктах, основанных на OpenSource, для реализации кибератак и доступа к чувствительной информации.

По оценке специалистов информационной безопасности компании Swordfish Security, около 40% российских программных продуктов разрабатываются с использованием компонентов открытого кода. Это стало возможным благодаря широкому распространению практики заимствования — разработчики не пишут функционал «с нуля», а интегрируют готовые фрагменты, выполняющие те или иные задачи: обработку данных, работу с файлами, формирование интерфейсов, подключение к базам данных и пр. Однако именно в этих фрагментах и могут скрываться критические уязвимости.

Swordfish Security проанализировала более 300 российских программ — преимущественно из финансового сектора — и выявила более 2500 уязвимостей. Из них свыше 1000 были классифицированы как критические. Это означает, что злоумышленники могут использовать их для удаленного выполнения кода, перехвата данных или даже полного захвата управления над сервером. В среднем на каждую проверенную программу приходилось по 22 уязвимости, а на команду разработчиков — 79 потенциальных проблем.

Как пояснил ведущий архитектор компании Юрий Шабалин, в библиотеке с открытым кодом могут скрываться «закладки», позволяющие хакерам выполнять вредоносный код на серверах, где работает приложение. Это, в свою очередь, может привести к нарушению работы системы, компрометации данных, параличу бизнес-процессов и даже утечке средств с криптовалютных кошельков, как это уже случалось в некоторых случаях.

Подобные выводы подтверждают и другие эксперты. Руководитель центра технического взаимодействия с клиентами Solar appScreener из компании «Ростелеком-Солар» Антон Прокофьев заявил, что OpenSource используется в каждом втором российском приложении. Евгений Фёдоров из компании R-Vision и вовсе полагает, что фактический масштаб проблемы занижен: по его мнению, практически всё разрабатываемое в России программное обеспечение в той или иной степени содержит фрагменты открытого кода. Директор по продуктам компании Positive Technologies Денис Кораблёв также подтвердил, что без OpenSource сейчас не обходится ни один крупный софтверный проект.

Swordfish Security отмечает, что наиболее подвержены уязвимостям веб-сервисы. Это связано с тем, что веб-продукты, как правило, используют большее количество сторонних библиотек и фреймворков. Чем их больше, тем выше вероятность, что хотя бы в одной из них будет обнаружена брешь в безопасности. Особенно подвержены риску CMS-системы, базы данных и инструменты автоматизации для ИТ-специалистов. В зоне риска — сайты, онлайн-СМИ, интернет-магазины и медиаплатформы.

Антон Кузьмин из Innostage также акцентирует внимание на том, что под ударом оказываются инструменты управления контентом, автоматизированные сервисы и все проекты, где важно быстро внедрять функции с минимальными затратами. Однако именно здесь разработчики чаще всего не в состоянии в полной мере провести проверку всех зависимостей на безопасность.

По мнению специалистов, с ростом цифровизации и увеличением числа российских веб-проектов доля уязвимого OpenSource-кода в отечественном ИТ-пространстве будет только расти. Основная проблема заключается в отсутствии практики систематической проверки безопасности сторонних компонентов. В условиях санкционного давления и переориентации на отечественные разработки разработчики стремятся минимизировать сроки вывода продуктов на рынок, что нередко происходит в ущерб безопасности.

Для снижения рисков эксперты предлагают внедрять регулярные аудиты программного кода, использовать специализированные сканеры уязвимостей, уделять больше внимания документации библиотек и отслеживать обновления компонентов. Кроме того, ИТ-компаниям рекомендуется переходить к практике "Zero Trust" — принципа, при котором ни один элемент не считается безопасным по умолчанию.

Таким образом, российским разработчикам предстоит серьёзная работа по повышению уровня цифровой гигиены своих продуктов. Переход на открытый код не может означать автоматическое доверие к его содержимому. Без должного контроля и ответственного отношения к заимствованиям OpenSource из инструмента ускорения разработки может превратиться в слабое звено, открывающее двери киберпреступникам.