Открытые источники растут, патчи отстают: уязвимости всё чаще становятся причиной инцидентов

По данным Helpnetsecurity, открытые источники продолжают активно внедряться в корпоративные среды, становясь де-факто частью инфраструктуры, разработки и производственных приложений. Риски, связанные с этим, уже не выделяются как отдельная проблема, а включаются в общую картину корпоративной безопасности. В частности, это касается задержек в исправлении уязвимостей, множественности версий программного обеспечения и работы с устаревшими системами, которые остаются в эксплуатации дольше, чем планировалось.

Отчет TuxCare за 2026 год, озаглавленный Open Source Landscape Report, показывает, что открытые источники продолжают расширяться благодаря их активному использованию разработчиками. При этом инциденты безопасности всё ещё напрямую связаны с неисправленными уязвимостями. Это указывает на необходимость более тщательного подхода к управлению зависимостями и процессам обновления.

Проблема задержки исправлений

Артем Карасев, старший менеджер по продуктам TuxCare, отмечает, что главная проблема заключается не в том, что компании не знают о существующих уязвимостях, а в том, что исправления не успевают внедряться вовремя. Это приводит к тому, что даже при наличии информации о рисках, организация всё равно становится жертвой атаки.

Карасёв подчеркивает, что решение лежит в адаптации процесса обновления под реалии времени работы систем. Это включает в себя поэтапные внедрения, усиление мониторинга и наличие чётких планов отката. Также важно автоматизировать не только сканирование, но и весь процесс исправления, включая назначение ответственных, стандартизацию утверждений и тестирование в CI/CD-пайплайне.

Linux остаётся популярным, но управление развертываниями становится сложнее

Большинство компаний сообщают о значительном количестве развертываний Linux, которые требуют внимания при планировании обновлений и жизненного цикла. Хотя общее количество систем остаётся умеренным, их распределение по backend-сервисам, инфраструктурным платформам и средам разработки создаёт сложности. Такие среды часто растут неравномерно, что ведёт к необходимости централизованного управления патчами.

Ubuntu лидирует среди дистрибутивов Linux, а Debian также занимает прочную позицию. Значительная часть пользователей продолжает использовать CentOS, включая версии, которые уже вышли из поддержки. Это приводит к росту интереса к альтернативным решениям вроде AlmaLinux и Rocky Linux, позволяющим оставаться в привычной экосистеме, не жертвуя стабильностью.

Однако, многие компании сообщают о параллельной работе с несколькими версиями CentOS, что говорит о том, что миграция часто проводится поэтапно. Старые системы могут оставаться в эксплуатации на протяжении длительного времени, особенно если приложения сложно перепроверить или пересобрать.

Расширяются требования к управлению жизненным циклом

Согласно данным отчета, многие организации сталкиваются с проблемой «дрейфа» жизненного цикла — когда системы остаются в эксплуатации дольше, чем планировалось. Это ведёт к накоплению рисков, особенно в области безопасности и операционной стабильности.

Карасёв отмечает, что компании всё чаще нуждаются в более строгом контроле над зависимостями, а также в механизмах проверки жизненного цикла, которые помогут избежать неожиданных окончаний поддержки. Он подчеркивает важность чёткой политики расширенной поддержки, которая позволяет принимать осознанные решения о продолжении работы на устаревших версиях, а не действовать в условиях чрезвычайной ситуации.

Рост инцидентов и роль уязвимостей

Более 40% опрошенных компаний сообщили о киберинциденте в прошлом году. В то же время, немного больше организаций заявили, что таких инцидентов не было. Это связано с тем, что крупные компании, как правило, сталкиваются с инцидентами чаще из-за большего атакуемого пространства и более сложных сред. Кроме того, у них обычно лучше настроены системы обнаружения и отчёта, что увеличивает вероятность выявления инцидентов.

Отчет подчеркивает, что большинство инцидентов всё ещё связаны с известными уязвимостями, для которых уже были выпущены исправления. В примере, около 60% организаций, столкнувшихся с инцидентами, отметили, что патч был доступен, но не успел быть внедрён. Это указывает на то, что проблема заключается не в отсутствии информации, а в задержках в процессах обновления.

Смещение акцентов в аудитах и закупках

Процесс управления уязвимостями всё чаще ограничен не столько недостатком знаний, сколько структурными и человеческими ресурсами. В средах с активным использованием открытых источников эта проблема усугубляется глубиной зависимостей, фрагментацией дистрибутивов и долгой эксплуатацией устаревших стеков.

Карасёв отмечает, что требования к аудиту патч-менеджмента меняются: теперь аудиторы и заказчики требуют более прямых технических доказательств, а не просто отчётности. Растёт давление на предоставление системной информации о том, что обновления действительно были внедрены, а исключения обработаны по установленным правилам.

Эти изменения также влияют на закупки программного обеспечения и контроль над цепочками поставок. В контрактах всё чаще требуются SBOM (Software Bill of Materials) и прозрачность происхождения компонентов. Это подчеркивает рост значимости управления зависимостями, где многие компании всё ещё не имеют чёткой политики.

Ключевые выводы

• Open source стал де-факто частью корпоративной инфраструктуры, но сопряжён с рисками, связанными с патч-менеджментом.
• Linux остаётся популярным, но управление его развертываниями становится сложнее.
• CentOS продолжает использоваться, несмотря на окончание поддержки, что стимулирует переход на альтернативные дистрибутивы.
• Уязвимости, для которых уже были выпущены исправления, всё ещё остаются основной причиной инцидентов.
• Аудиты и закупки требуют всё большего технического доказательства эффективности патч-менеджмента.
• SBOM и контроль цепочки поставок становятся важными элементами закупочной политики.

Открытые источники: стандарт инфраструктуры и вызовы безопасности

Открытые источники уже не просто инструмент для разработки — они стали неотъемлемой частью корпоративной инфраструктуры, включая backend-сервисы, инфраструктурные платформы и среды разработки. Однако с ростом их популярности растут и риски, связанные с управлением зависимостями, уязвимостями и жизненным циклом программного обеспечения. Особенно это касается компаний, которые используют открытые решения как альтернативу лицензионному ПО в условиях санкций и ограниченного доступа к иностранным продуктам [!].

Почему Open Source становится де-факто стандартом

Открытые источники активно замещают как иностранные, так и отечественные решения, поскольку они обеспечивают функциональность, стабильность и экономичность [!]. В условиях, когда доступ к зарубежным системам ограничен, Open Source выступает в роли стратегической альтернативы. Однако это не отменяет проблем, связанных с управлением уязвимостями и патч-менеджментом. Например, в 2026 году отчет TuxCare показал, что более 60% киберинцидентов всё ещё связаны с неисправленными уязвимостями, для которых патчи уже были выпущены.

Уязвимости как угроза, а не как техническая деталь

Проблема не в том, что компании не знают о рисках, а в том, что процессы обновления не успевают справляться с масштабом инфраструктуры. Это особенно касается Linux-систем, где количество развертываний растёт, а управление обновлениями становится сложнее. Ubuntu и Debian остаются лидерами, но CentOS продолжает использоваться, несмотря на окончание поддержки. Это создаёт дополнительные риски, так как старые системы остаются в эксплуатации дольше, чем планировалось.

Важно: Системы, оставшиеся в эксплуатации дольше запланированного, становятся лакомым кусочком для атак. Чем дольше они работают, тем больше времени остаётся для поиска уязвимостей.

Рост атак через подрядчиков с низким уровнем кибербезопасности также демонстрирует, как уязвимости могут распространяться через внешние системы, даже если внутренние процессы обновления налажены [!]. Это требует более строгого контроля над всеми звеньями цепочки поставок, включая SBOM (Software Bill of Materials) и прозрачность происхождения компонентов.

i

Создано специально для ASECTOR

Концептуальное изображение

ИИ и автоматизация: новая реальность разработки

Искусственный интеллект начинает влиять на процессы разработки, включая автоматизацию исправления ошибок и диагностику систем. Например, в ядре Linux ИИ-инструменты помогают сокращать время выполнения сложных задач в десять раз [!]. Однако это же открывает новые риски: злоумышленники могут использовать ИИ для генерации вредоносного кода. Первый вирус-вымогатель на базе ИИ, работающий на Linux, уже был обнаружен [!]. Это указывает на необходимость пересмотра подходов к безопасности, включая мониторинг не только уязвимостей, но и новых методов атак.

Аудиты и закупки: технические доказательства становятся нормой

С ростом числа инцидентов требования к аудиту патч-менеджмента становятся жёстче. Теперь заказчики требуют не просто отчётов, а технических доказательств — что обновления действительно были внедрены. Это особенно важно в контексте закупок, где SBOM становится обязательным элементом контракта. Прозрачность цепочки поставок перестала быть опцией — она стала частью стандартной практики. Это создаёт дополнительные требования к внутренним процессам, особенно для тех, кто ещё не сформировал чёткую политику управления зависимостями.

Что делать: ключевые шаги для снижения рисков

Для минимизации рисков ключевым становится аудит патч-менеджмента, автоматизация процессов обновления и внедрение стратегий, которые позволят минимизировать последствия задержек. Это включает в себя:

• Автоматизацию сканирования и исправления уязвимостей, особенно в средах CI/CD.
• Регулярный аудит жизненного цикла систем, включая устаревшие версии CentOS и альтернативные дистрибутивы.
• Усиление контроля над подрядчиками, особенно тех, кто работает с открытыми системами.
• Интеграцию ИИ-инструментов в процессы диагностики и исправления, но с учётом рисков, связанных с их злоупотреблением.
• Внедрение SBOM и прозрачности цепочки поставок, особенно при закупке программного обеспечения.

Заключение

Открытые источники стали не просто частью разработки, но полноценной инфраструктурой, которая несёт с собой системные риски. Уязвимости, для которых уже есть исправления, остаются основной причиной киберинцидентов. Это указывает на необходимость пересмотра подходов к управлению зависимостями, патч-менеджменту и безопасности в целом. Особенно это касается компаний, которые используют Open Source как альтернативу лицензионному ПО. Без чёткой политики и автоматизации, даже самые функциональные решения могут стать источником угроз.