Казанцев Е.А.
РАЗРАБОТКА СИСТЕМЫ АВТОМАТИЗИРОВАННОГО АНАЛИЗА СТОРОННИХ ОТКРЫТЫХ БИБЛИОТЕК НА НАЛИЧИЕ УЯЗВИМОСТЕЙ В ИСПОЛНЯЕМЫХ ФАЙЛАХ *
Аннотация:
в работе было проведено исследование существующих методов для защиты от атак на цепочки поставок. Выявлены их достоинства и недостатки. Была разработана собственная методика автоматизированного анализа программного.
Ключевые слова:
атака, поставка, защита, программные средства
На сегодняшний день информационные технологии развиваются с огромной скоростью. Для выполнения своих операций, для обработки информации и обслуживания компании и организации используют информационные системы. Практически все операции в организациях поддерживаются автоматизированными системами и электронными данными. Если эти сервисы становятся недоступными, то организация не может выполнять свои задачи, а соответственно и предоставлять свои услуги, управлять своими активами и т. д.Современные информационные системы активно используют сторонние программные компоненты, включая открытые библиотеки, для расширения функциональности и ускорения разработки. Однако такой подход несет в себе риски, связанные с потенциальными уязвимостями в стороннем коде, которые могут привести к компрометации безопасности всей системы.Одним из наиболее актуальных рисков являются атаки на цепочку поставок – это ситуации, когда вредоносный код проникает в систему через внешние библиотеки, инструменты сборки или другие компоненты, используемые при разработке и эксплуатации программного обеспечения.Более того в настоящее время наблюдается уверенный рост атак на цепи поставок, особенно на нижние уровни иерархии, касающиеся фрилансеров, а также атаки на интернет вещей.Если говорить о выявление уязвимостей в каком-либо программном обеспечение, то, по мнению автора, следует рассматривать наиболее полную последовательность методик OWASP DevSecOps Guideline [1], которая включает в себя следующие совокупности методов и процессов анализа:- Secret Scanning. Заключается в автоматизированном исследовании исходного кода (при его наличии) на присутствие в нём вшитых паролей, API ключей, ключей для шифрования и других секретов,- SCA. Выявляет и анализирует зависимости в программном обеспечении, а сопоставляет их с известными уязвимостями, зарегистрированными в специализированных базах данных, таких как CVE, NVD или OSV,- SAST. Методика ручного анализа исходного кода на наличие в нем уязвимостей,- IaC Scanning. Процесс анализирования скриптов программного обеспечения, которые обеспечивают и настраивают инфраструктуру,- Container Scanning. Процесс проверки снимков контейнеров на наличие в них известных уязвимостей,- DAST. Ручной или автоматизированный процесс проверки программного обеспечения в процессе его работы,- Infra Scanning. Совокупность методов и процессов для проверки рабочего окружения программного обеспечения на наличие уязвимостей,- OWASP DevSecOps Guideline включает в себя основные процессы разработки, описанные в ГОСТ Р 56939-2024, и дополняет их.Был проведен сравнительный анализ методов защиты от атак на цепочки поставок. Результаты его проведения представлены в таблице 1.Таблица 1. Результаты проведения сравнительного анализа.Из выше приведенных методик больше всего для анализа сторонних библиотек бинарных исполняемых файлов подходит SCA или, если использовать терминологию ГОСТ для РБПО, композиционный анализ.SCA основывается на выявлении опасных зависимостей в ПО до его сборки при помощи анализа метаданных и файлов манифестов (package.json, pom.xml, requirements.txt), также для исследования зависимостей в ПО после сборки некоторые инструменты используют сигнатурный анализ [2].Основная проблема данного метода заключается в невозможности проверки библиотек, добавленных в ПО после сборки, при помощи статической линковки, или ручного добавления на уровне исходного кода.Анализируя недостатки и преимущества метода SCA, был составлен метод Анализа Состава Бинарного Программного Обеспечения (АСБПО). Основными особенностями которого являются:- Обнаружение статических и скрытых зависимостей (добавленных вручную),- Отсутствие тяжелой и долгой настройки, а также объединения с другими инструментами разработчиков,- Отсутствие потребности исходного кода до сборки и способность работать с ПО после сборки, которое должно быть использовано итоговым клиентом,- Может быть использован как последний этап проверки перед отправкой клиентам на наличие уязвимостей, добавленных во время разработки.
Номер журнала Вестник науки №6 (87) том 2
Ссылка для цитирования:
Казанцев Е.А. РАЗРАБОТКА СИСТЕМЫ АВТОМАТИЗИРОВАННОГО АНАЛИЗА СТОРОННИХ ОТКРЫТЫХ БИБЛИОТЕК НА НАЛИЧИЕ УЯЗВИМОСТЕЙ В ИСПОЛНЯЕМЫХ ФАЙЛАХ // Вестник науки №6 (87) том 2. С. 1713 - 1717. 2025 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/24094 (дата обращения: 09.07.2025 г.)
Вестник науки © 2025. 16+