Разработчики open-source считают защиту кода скучной тратой времени

Разработчики open-source считают защиту кода скучной тратой времени

Разработчики open-source считают защиту кода скучной тратой времени

Аналитики Linux Foundation изучили практики разработчиков софта с открытым исходным кодом (FOSS-сообщество) и пришли к выводу, что девелоперы уделяют менее 3% своего времени вопросам безопасности и устранению уязвимостей. Более того, никто не планирует менять такой подход.

Исследование Linux Foundation строится на опросе около 1200 разработчиков open-source. Ключевой момент, который хотят донести аналитики, — нужно больше внимания уделять безопасности FOSS-проектов, поскольку многие организации всё больше доверяют свои процессы софту с открытым исходным кодом.

Согласно результатом опроса, разработчики тратят в среднем около 2,27% своего времени на рассмотрение выявленных проблем безопасности и уязвимостей. При этом большинство девелоперов не проявили особого желания уделять этому вопросу больше внимания.

«Я нахожу всю эти вопросы безопасности душераздирающим бременем. Всё это лучше оставить юристам или тем, кто помешан на процессе», — отметил один из респондентов.

«Безопасность мне кажется ужасно скучным занятием, вдобавок мешающим другим процедурам», — заявил другой опрошенный девелопер.

Стоит отметить, что наиболее частыми запросами при обращении к разработчикам стали патчи для различных багов и уязвимостей, а также общий аудит безопасности и упрощённые способы, позволяющие добавить инструменты для защиты непрерывной интеграции.

«На сегодняшний день чётко ощущается необходимость уделять больше внимания безопасности FOSS, однако это не должно стать обузой для самих разработчиков. В целом девелоперы не хотят проводить аудит безопасности, а наоборот — хотят получать готовый результат подобного аудита», — подытожили (PDF) аналитики.

ИИ научился клепать клоны Android-приложений почти за копейки

Нейросети могут за несколько минут изменить Android-приложение, пересобрать его и сохранить работоспособность. Причём цена такой операции начинается с 88 копеек, выяснили специалисты Positive Technologies. Эксперимент провели на 90 приложениях разных категорий.

Вредоносный код исследователи не добавляли: они вносили нейтральное изменение и проверяли, продолжит ли программа работать после вмешательства.

Результат получился неприятный. Закрытые коммерческие модели успешно справились с задачей в 84% попыток, модели с открытыми весами — в 61%. В среднем нейросети требовалось 14 итераций и от пяти с половиной до девяти минут.

 

Стоимость одного успешного результата составила от 0,88 до 40,89 рубля. То есть за несколько тысяч рублей потенциальный злоумышленник может попробовать модифицировать сотню популярных приложений.

На практике вместо безобидной правки в APK можно встроить перехват данных, изменить поведение программы или добавить связь с внешним сервером. Затем поддельную сборку легко выдать за оригинал, улучшенную версию или приложение, которое якобы недоступно в официальном магазине.

 

Распространять такие клоны могут через сторонние каталоги, сайты, мессенджеры и тематические сообщества. Особенно уязвимы пользователи, которые привыкли скачивать APK где придётся.

В Positive Technologies отмечают, что ИИ не изобрёл новый вид атаки, но заметно снизил порог входа. То, что раньше требовало времени и навыков реверс-инжиниринга, теперь можно частично поручить нейросети.

Разработчикам советуют защищать код от анализа и изменения, отслеживать появление неофициальных сборок и закладывать безопасность ещё на этапе разработки. Иначе клон приложения может появиться быстрее, чем команда успеет выпустить очередной патч.

RSS: Новости на портале Anti-Malware.ru