Блог CodeScoring

Таксономия атак на цепочку поставки ПО: тренды и предпосылки новых трендов

Атаки на цепочку поставки ПО становятся все сложнее, а их последствия — все более масштабными. Злоумышленники используют уязвимости в Open Source компонентах как целевой вектор атак, находя новые способы компрометации экосистем. Какие техники наиболее распространены сегодня, как они эволюционируют и какие механизмы защиты работают эффективнее всего?

В докладе разбираются ключевые виды атак: вредоносные пакеты, подмена имен (Combosquatting, Typesquatting), изменение структуры названий, brandjacking, а также новые угрозы, связанные с развитием ИИ. Особое внимание уделено реальным кейсам, включая нашумевший бэкдор в xz, и тому, как сообщество реагирует на выявленные уязвимости.

Также представлены данные CodeScoring о динамике исправления уязвимостей в Open Source проектах. С помощью мегаграфа связей пакетов оценивается, как быстро экосистема адаптируется к новым угрозам и какие факторы влияют на скорость реакции.

Доклад будет полезен разработчикам и специалистам AppSec — в нем разобраны практические методы триажа уязвимостей, которые помогают сэкономить время и эффективно приоритизировать риски.

Следить за анонсами мероприятий с участием команды CodeScoring можно в нашем Telegram-канале.