На фоне участившихся утечек данных и сбоев в ИТ-инфраструктуре эксперт CISOCLUB Алексей Захаров, директор по технологическому консалтингу Axiom, указал на одну из корневых причин — атаки на цепочки поставок программного обеспечения. Особый риск, по его словам, несёт Java-среда, от которой зависит подавляющее большинство корпоративных приложений.
Он подчеркнул, что экосистема Java не остаётся в стороне от таких атак, особенно при использовании сторонних библиотек.
«Атаки на цепочки поставок программного обеспечения представляют собой одну из самых серьезных угроз для Java-приложений, а это более 70% всех корпоративных систем. И последствия таких атак напрямую связаны с упомянутым ростом утечек данных и сбоев в работе компаний. Эти атаки не обходят стороной и экосистему Java, делая приложения уязвимыми из-за использования сторонних библиотек», — заявил Алексей Захаров.
Он уточнил, что одна из главных проблем — это масштаб и сложность библиотечных зависимостей.
«В среднем одно Java-приложение зависит от 148 библиотек, а один проект обновляется около 10 раз в год, что создает сложность для отслеживания всех изменений. Риски исходят не только от библиотек, которые разработчики подключают напрямую, но и от зависимостей этих библиотек. Это создает сложную, многоуровневую цепочку, которую практически невозможно полностью контролировать вручную», — пояснил он.
Алексей Захаров добавил, что большая часть библиотек размещается в хранилищах наподобие Maven Central, где отсутствует централизованный контроль за качеством кода и артефактов.
«Такие хранилища, как Maven Central, содержат библиотеки от множества независимых разработчиков. Проверить надёжность и безопасность готовых артефактов и соответствие исходному коду для каждого из них — крайне сложная задача», — отметил он.
В качестве возможных мер он предложил использовать доверенные репозитории, сертифицированные Java-платформы и верификацию цифровых подписей.
«Во-первых, использование подписанных артефактов из доверенных российских репозиториев, где все артефакты полностью соответствуют исходному коду и собраны с помощью доверенных инструментов Maven и Gradle и просканированы антивирусным ПО. Необходимо верифицировать цифровые подписи библиотек перед их использованием. Во-вторых, для работы в КИИ и ГИС необходимо использовать сертифицированную Java-платформу, которая интегрируется с Замкнутой Программной Средой (ЗПС) и проверяет подписи JAR-файлов перед их выполнением», — отметил Алексей Захаров.
Также он подчеркнул, что борьба с уязвимостями требует от команд разработки системной дисциплины.
«В-третьих, следует обучать разработчиков основам безопасности и внедрять ГОСТ на РБПО. Формализовать процессы разработки, выбора и одобрения использования сторонних библиотек для использования в проектах. Затем проведение композиционного анализа и регулярные обновления продуктов, поддерживаемых отечественными поставщиками, исключает компоненты с известными уязвимостями», — добавил он.
Алексей Захаров считает, что при комплексном подходе можно добиться реального эффекта: минимизировать утечки данных и повысить доверие к системам со стороны пользователей.
«В целом, такие меры позволят предотвратить утечки данных и сохранят доверие клиентов и граждан к информационным системам», — подытожил он.