 |
Взлом через NPM: как защититься от критической уязвимости?
В популярном пакете Node.js Systeminformation обнаружена критическая уязвимость (RCE — удалённое выполнение кода), что ставит под угрозу безопасность систем, использующих эту библиотеку. Киберэксперт компании «Газинформсервис» Сергей Полунин рекомендует компаниям пересмотреть свои стратегии информационной безопасности и внедрить системы мониторинга безопасности, такие как Security Operations Center (SOC), для обнаружения угроз и реагирования на них в реальном времени.
«Уязвимость в популярном NPM-пакете — это всегда серьёзная проблема. Дело в том, что сегодня почти ничего не пишется с нуля, а разработчики используют огромное количество сторонних библиотек и модулей, зачастую даже не задумываясь об их безопасности. Их тоже можно понять: их в большей степени интересует функционал. Поэтому, когда появляется информация об уязвимости, особенно класса RCE, в библиотеке, которую вы используете, то это повод задуматься о том, как вы вообще проектируете своё программное обеспечение. Я не говорю, что всё нужно делать самому. Это как раз, скорее всего, сделает ваше ПО ещё более уязвимым, а вот использовать наложенные средства при тестировании и развёртывании ваших приложений — это хорошая идея. Подключив своё приложение к тому же SOC, выявлять атаки на эксплуатацию уязвимостей будет довольно просто. А ещё правильнее не допускать их в принципе. Для этого существует методология DevSecOps, которая позволяет на каждом этапе разработки ПО контролировать различные аспекты безопасности», — комментирует руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
Напомним, в мае этого года «Газинформсервис» запустил коммерческий SOC, предоставляющий круглосуточный мониторинг и реагирование на инциденты безопасности. В основе решения лежат SIEM-, VM-, XDR- и UEBA-системы, позволяющие эффективно выявлять и нейтрализовывать угрозы, подобные внедрению команд в популярном пакете NPM Systeminformation. Состав решения может быть адаптирован под потребности конкретного заказчика.
Контактное лицо: Татьяна Манько
Компания: ООО "Газинформсервис"
Добавлен: 23:38, 27.12.2024
Количество просмотров: 223
Страна: Россия
| Сервис Data Governance от Utrace стал доступен во всех товарных категориях, Utrace, 23:27, 29.08.2025, Россия292 |  |
| Utrace, разработчик ИТ-решений для управления цифровой маркировкой, расширил отраслевую направленность услуги Data Governance. Теперь любая компания может наладить стабильный обмен данными о маркировке между внутрикорпоративными системами и «Честным знаком» при содействии опытных сертифицированных специалистов Utrace. |
| iSpring Learn помогла SELA поднять обученность персонала до 89%, iSpring, 09:13, 29.08.2025, Россия146 |  |
| SELA, один из ведущих российских fashion-брендов, внедрила платформу корпоративного обучения iSpring Learn. Это позволило создать единую цифровую образовательную среду для более чем 1100 сотрудников в 150 магазинах и внедрить единые стандарты обучения |
| В RooX UIDM появилась аутентификация по сертификату через mTLS, RooX, 09:13, 29.08.2025, Россия156 |  |
| В платформе управления доступом RooX UIDM реализована поддержка аутентификации с использованием клиентских сертификатов в рамках протокола Mutual TLS (mTLS). Это позволило расширить возможности безопасного входа в веб-приложения, обеспечивая более универсальный и стандартизированный подход к проверке подлинности. |
|
|
