Куда я попал?
Злоумышленники могут манипулировать (изменять) программное обеспечение до его получения конечным потребителем.
Компрометация программного обеспечения в цепочке поставок может происходить несколькими способами, включая манипулирование исходным кодом приложения, манипулирование механизмом обновления / распространения этого программного обеспечения или замену скомпилированных выпусков модифицированной версией.
Так же могут быть скомпрометированы (изменены) зависимости программного обеспечения и средства разработки.
Например, популярные проекты с открытым исходным кодом, которые используются в качестве зависимостей во многих приложениях могут быть использованы для добавления вредоносного кода.
Компрометация программного обеспечения в цепочке поставок может происходить несколькими способами, включая манипулирование исходным кодом приложения, манипулирование механизмом обновления / распространения этого программного обеспечения или замену скомпилированных выпусков модифицированной версией.
Так же могут быть скомпрометированы (изменены) зависимости программного обеспечения и средства разработки.
Например, популярные проекты с открытым исходным кодом, которые используются в качестве зависимостей во многих приложениях могут быть использованы для добавления вредоносного кода.
Связанные риски
| Риск | Связи | |
|---|---|---|
|
Заражение вредоносным программным обеспечением из-за
возможности атаки на цепочку поставок программного обеспечения в программном обеспечении
Доступность
Конфиденциальность
Отказ в обслуживании
Повышение привилегий
Раскрытие информации
Целостность
Искажение
|