Проверка кода на предмет внедрения вредоносного кода через цепочки поставок

Практика проверки кода на внедрение вредоносного ПО через цепочки поставок — важный процесс, направленный на поддержание необходимого уровня безопасности ПО, в котором использовались сторонние компоненты. Проверке должен подвергаться код, используемый при разработке исследуемого ПО: как код свободно распространяемого ПО (Open source), так и код от сторонних поставщиков.

О попытках компрометации свободно распространяемого ПО регулярно появляется информация в профессиональном сообществе. Это подчёркивает важность проведения проверки заимствованного кода из открытых источников.

Условно "доверенный" сторонний поставщик может стать жертвой "атаки на поставщика". Её цель — скрытно внедрить вредоносное ПО в легитимно распространяемый код, в том числе передаваемый по защищённым каналам связи, тем самым расширив действие атаки и на сторонние организации, которые используют данный код в своих целях.

Таким образом, ни один сторонний поставщик на сегодняшний день не застрахован от действий злоумышленников. Поэтому требуется проверять код при получении.