«Лаборатория Касперского»: более 20 тысяч зараженных open-source проектов обнаружено с 2022 года

«Лаборатория Касперского»: более 20 тысяч зараженных open-source проектов обнаружено с 2022 года

Глава «Лаборатории Касперского» Евгений Касперский на конференции Data Fusion 2026 выступил с резким предупреждением: за последние три года компания выявила свыше 20 тысяч проектов с открытым исходным кодом, содержащих опасные уязвимости и вредоносные вставки. По мнению эксперта, современное состояние экосистемы открытого ПО исключает возможность «слепого доверия» компонентам из публичных репозиториев. О главных выводах доклада сообщает IT World.

Основные угрозы в открытом ПО связаны с вредоносными «закладками» — скрытыми модулями для кражи данных или удаленного управления системами. Эксперты отмечают критический рост числа таких инцидентов: только за 2025 год количество вредоносных библиотек увеличилось на 1000%.

Особую категорию составляет protestware — код, который активируется исключительно на территории РФ, блокируя работу систем или выводя политические сообщения. Исследования показывают, что более половины (51%) популярных у российских разработчиков библиотек содержат уязвимости, позволяющие злоумышленникам выполнять произвольный код или перехватывать трафик.

Стратегии защиты и контроля

Ведущие российские компании (InfoWatch, Solar Security, Positive Technologies) используют многоуровневый аудит для минимизации рисков:

Композиционный анализ (SCA): проверка состава ПО и всех зависимостей по базам уязвимостей;
Паспортизация кода (SBOM): ведение детального учета всех компонентов в цепочке поставок;
Статическая проверка (SAST): глубокий поиск ошибок и недокументированных функций непосредственно в исходном коде.

По мнению экспертов, защищенность проекта определяется не его популярностью, а наличием активного сообщества, скоростью выпуска патчей и прозрачностью истории изменений.

Ответственность за использование

Юридически open-source распространяется по принципу «как есть», поэтому вся ответственность за последствия лежит на компании, включившей компонент в свой продукт. В условиях участившихся атак на цепочки поставок (Supply Chain Attacks) специалисты рекомендуют госсектору и крупному бизнесу использовать только сертифицированные версии ОС и платные сервисы проверки кода, обеспечивающие актуальность баз угроз.

Читайте также: «Ростелеком» представил платформу «Нейрошлюз» на конференции «Электронный регион: территория безопасности»

Лаборатория Касперского

безопасность open-source бибилиотек

уязвимости

Был ли вам полезен данный материал?

Да Нет

|| ←Обзор госзакупок за период с 1 по 31 марта 2026 года
UserGate и Nubes представили сервис Nubes Cloud WAF для защиты веб-приложений →

Предыдущий материал: Обзор госзакупок за период с 1 по 31 марта 2026 года

Следующий материал: UserGate и Nubes представили сервис Nubes Cloud WAF для защиты веб-приложений

В выпуске журнала RUБЕЖ №1 (61) «2026. Прогнозы и тренды» подводятся итоги прошедшего года и исследуются ключевые тенденции в отрасли систем безопасности на предстоящий год.

Подписывайся на наши каналы в Telegram: