Теневой код — сторонние скрипты и библиотеки, часто добавляемые в веб-приложения без проверки безопасности — создают риски для веб-сайтов и ставят под угрозу соблюдение правил конфиденциальности, согласно к новому исследованию, опубликованному во вторник.
Сторонний код делает организации уязвимыми для цифрового скимминга и атак Magecart, также отметили исследователи.
Исследование, проведенное Osterman Research для PerimeterX, показало, что более 50 процентов опрошенных специалистов по безопасности и разработчиков считают, что использование стороннего кода в своих приложениях сопряжено с некоторым или большим риском.
Исследователи также обнаружили повышенную обеспокоенность респондентов по поводу кибератак на их веб-сайты. В прошлом году 45 процентов опрошенных серьезно обеспокоены тем, что их интернет-форпосты становятся мишенью хакеров; в этом году это число подскочило до 61 процента.
Обеспокоенность по поводу атак на цепочки поставок также возросла с 28 процентов в 2020 году до 50 процентов в 2021 году. Тревога по поводу атак Magecart также значительно выросла по сравнению с прошлым годом — на 47 процентов. Magecart, или электронный скимминг, — это форма мошенничества, при которой данные транзакции перехватываются во время оформления заказа в интернет-магазине.
Содержание статьи
Баланс риска и эффективности
Разработчики используют сторонний код по ряду причин.
«Это легко доступно», — сказал Брайан Уффельман, вице-президент по маркетингу продуктов PerimeterX, поставщика услуг веб-безопасности из Сан-Матео, Калифорния.
«Существует неверное предположение, что если он доступен и с открытым исходным кодом, то он безопасен», — сказал он TechNewsWorld.
«Они верят, что открытый исходный код, который они используют, или библиотеки, которые они используют, безопасны», — продолжил он. «Мы обнаружили, что это не так».
«Часто они пытаются сбалансировать эффективность с риском», — добавил он.
Джонатан Таннер, старший исследователь безопасности в Barracuda Networks, поставщике решений для обеспечения безопасности и хранения данных из Кэмпбелла, Калифорния, объяснил, что библиотеки играют важную роль в разработке приложений, поскольку они предоставляют функциональные возможности, на реализацию которых потребуется много времени. разрабатываться внутри компании, и во многих случаях было бы более подвержено потенциальным ошибкам и эксплойтам.
«Существует распространенная поговорка о том, что нельзя изобретать колесо, когда дело доходит до разработки, что не только экономит время разработки, но и в результате позволяет повысить уровень сложности приложений», — сказал он TechNewsWorld.
Проблемы с ухаживанием
Таннер добавил, что в некоторых случаях сторонние библиотеки могут быть даже более безопасными, чем код, написанный внутренними группами разработчиков, даже если уязвимости обнаруживаются в наиболее авторитетных библиотеках.
«Если даже самая авторитетная библиотека, потенциально поддерживаемая сотнями экспертов по специфике того, что делает библиотека, может иметь уязвимости, попытки создать и поддерживать ту же функциональность внутри компании с небольшой группой разработчиков, которые, вероятно, не являются экспертами в функциональность потенциально может быть катастрофической », — заметил он.
«В результате, использование уже существующих библиотек, безусловно, имеет большую ценность не только с точки зрения экономии времени, но и с точки зрения безопасности», — сказал он.
Команды разработчиков хотят выпустить продукты как можно быстрее, — заметил Сэнди Кариелли, главный аналитик Forrester Research.
«Многие сторонние компоненты и компоненты с открытым исходным кодом позволят им добавить базовые функции и сосредоточиться на некоторых из более сложные дифференцирующие аспекты продукта », — сказала она TechNewsWorld.
«Проблема в том, что если вы не знаете, что это за сторонние компоненты, которые вызываются, вы можете столкнуться с кучей проблем», — сказала она.
«Если современные компании хотят, чтобы функции и функции предоставлялись быстро и дешево, это неизбежно будет происходить за счет невозможности сделать что-то — или многое другое — правильным образом», — добавила Кейтлин Йохансон, директор Центр передового опыта в области безопасности приложений компании Coalfire, поставщика консультационных услуг по кибербезопасности в Вестминстере, штат Колорадо.
«Было бы наивно думать, что скорость, с которой новые приложения и функции доставляются в наш технологически зависимый мир, достигается без сокращения углов», — сказала она TechNewsWorld.
Рискованный бизнес
Теневой код может представлять бесчисленные риски для организаций, утверждает Тейлор Галли, старший консультант по безопасности приложений в компании nVisium, поставщика безопасности приложений из Фолс-Черч, штат Вирджиния.
«Одна из них — это возможность полной компрометации приложения и данных в этом приложении», — сказал он TechNewsWorld.
«В дополнение к техническим рискам, — продолжил он, — репутационные риски могут быть катастрофическими, если уязвимость внесена в ваше приложение из-за непроверенной сторонней библиотеки».
Когда организации не хватает информации об используемом ею открытом исходном коде, также могут возникнуть риски лицензирования.
«Компонент с открытым исходным кодом может иметь ограничительную лицензию», — пояснил Кариелли из Forrester.
«Внезапно вы добавили в свой код компонент, который требует от вас открытого исходного кода всего приложения», — продолжила она. «Теперь ваша организация находится в опасности, потому что весь ваш проприетарный код должен иметь открытый исходный код».
Широко используется
Исследователи Остермана также обнаружили, что использование стороннего кода широко распространено во всем мире. Интернет. Почти все респонденты своего опроса (99 процентов) сообщили, что на их веб-сайтах используется хотя бы один сторонний скрипт.
Еще более показательным было то, что 80 процентов опрошенных заявили, что сторонние скрипты составляют от 50 до 70 процентов их веб-сайтов.
«Хотя формальных исследований распространенности теневого кода не проводилось, мы можем предположить, что он широко распространен из-за широкого использования JavaScript на большинстве веб-сайтов и огромного количества доступных библиотек JavaScript», — заметил Кевин Данн, президент Pathlock, поставщика оркестровки унифицированного доступа во Флемингтоне, штат Нью-Джерси
«На GitHub есть более миллиона известных проектов JavaScript с открытым исходным кодом, что представляет собой непреодолимую задачу для групп безопасности, которые могут вручную просмотреть и оценить», — сказал он TechNewsWorld.
Он добавил, что если теневой код позволяет третьей стороне неосознанно просматривать данные на сайте организации, это, вероятно, подвергает организацию риску соблюдения GDPR или CCPA, поскольку неизвестный обработчик данных просматривает данные без публичного раскрытия.
«Это может привести к потенциальным штрафам в миллионы долларов для организации, которая обязана поддерживать этот тип соблюдения конфиденциальности данных», — пояснил он.
Теневой код — определенно возрастающая проблема, и многие люди не осознают этого, — добавил Кристиан Симко, директор по маркетингу продуктов компании GrammaTech, поставщика решений для тестирования безопасности приложений со штаб-квартирой в Бетесде, штат Мэриленд.
«Пользовательский код сокращается, а использование стороннего кода растет», — сказал он TechNewsWorld. «Если вы неправильно управляете базой кода, которую используете, вы можете вставлять уязвимости в свое программное обеспечение, даже не подозревая об этом».
