00:00:00Прошлый год стал рекордным для кибербезопасности, и, к сожалению, в плохом смысле.
00:00:04За прошлый год было опубликовано более 48 000 CVE, и это официально самое большое
00:00:10количество уязвимостей, обнаруженных за один год.
00:00:13И похоже, что в будущем ситуация не станет проще.
00:00:17В этом видео давайте подробнее изучим статистику, чтобы понять, почему число
00:00:22уязвимостей растет и что мы можем с этим поделать.
00:00:29Итак, в прошлом году количество уязвимостей выросло на 18%, а это значит, что в среднем
00:00:35каждый день обнаруживалось по 130 новых брешей в безопасности.
00:00:39Еще страшнее то, что в начале 2025 года примерно 28% наблюдаемых эксплойтов
00:00:46запускались в течение суток после раскрытия уязвимости.
00:00:49Это означает, что к тому моменту, когда разработчики выпускали патч, злоумышленники
00:00:54уже активно эксплуатировали и атаковали системы.
00:00:57И, разумеется, написание кода с помощью ИИ упростило жизнь обеим сторонам.
00:01:01С ростом популярности «vibe coding» новые системы становятся открытыми для скрытых уязвимостей,
00:01:07поскольку ИИ-агенты внедряют более слабые меры безопасности.
00:01:11А со стороны атакующих — сканирование систем на критические проблемы и быстрая
00:01:17генерация скриптов для эксплуатации найденных уязвимостей стали как никогда простыми.
00:01:22Но если взглянуть на типы атак, на удивление, межсайтовый скриптинг
00:01:27и SQL-инъекции до сих пор остаются одними из самых популярных векторов атак.
00:01:32Так что внедрение надлежащей очистки входных данных в ваших приложениях —
00:01:38это одна из самых простых вещей, которые вы можете сделать для защиты.
00:01:40Если говорить о конкретных веб-фреймворках, WordPress по-прежнему остается лидером
00:01:45по количеству новых CVE: только в нем было обнаружено около 7000 уязвимостей.
00:01:52Поэтому я бы советовал держаться от WordPress подальше.
00:01:55Но если вы все же планируете использовать его для своих проектов, старайтесь
00:02:00использовать как можно меньше плагинов, так как подавляющее большинство — 90% —
00:02:07багов в WordPress связаны со сторонними плагинами, 6% — с темами и лишь 4% — с ядром.
00:02:15Ядро WordPress относительно безопасно, но плагины часто плохо поддерживаются,
00:02:21и некоторые проблемы могут игнорироваться.
00:02:23Но это наводит на важный вопрос.
00:02:25Какие языки и фреймворки считаются относительно безопасными?
00:02:28Данные показывают, что языки с безопасной работой с памятью, такие как Rust, Java, Go, C#, Python
00:02:36или Swift, считаются более надежными, чем C, C++ или ассемблер, так как последние
00:02:43позволяют напрямую манипулировать указателями.
00:02:47Исследования подтверждают, что примерно 70% всех критических уязвимостей
00:02:52в крупных кодовых базах, таких как у Microsoft и Google, вызваны проблемами с памятью.
00:02:59Важным сдвигом в 2025 году стал активный призыв таких организаций, как CISA, АНБ
00:03:06и Белый дом, к переходу разработчиков на языки с безопасной памятью.
00:03:11Также стоит учитывать плотность кода при оценке рисков, так как данные
00:03:16Google за 2025 год показывают, что в коде на Rust плотность уязвимостей составляет 0,2 на миллион строк,
00:03:26по сравнению с почти 1000 на миллион строк в старом коде на C или C++.
00:03:32Это вполне логично, ведь C и C++ существуют с 70-х годов, и в них накопилось
00:03:37много исторического кода, который все еще содержит старые уязвимости.
00:03:42Так что, если вы выбираете между C и Rust для следующего проекта, один этот факт
00:03:47может сильно склонить чашу весов в пользу Rust только с точки зрения безопасности.
00:03:52А если мы посмотрим на операционные системы, то безусловным лидером по уязвимостям
00:03:58является ядро Linux.
00:03:59И это не удивительно, ведь ядро Linux повсеместно.
00:04:04Оно работает на серверах, в Android, в устройствах интернета вещей и много где еще.
00:04:09Оно находится под пристальным вниманием исследователей.
00:04:12Поэтому было найдено и раскрыто огромное количество багов.
00:04:15К тому же, любой open-source проект неизбежно привлекает больше внимания атакующих.
00:04:20И вот, вступая в 2026 год, возникает вопрос: как нам лучше подготовиться
00:04:25и защитить наши системы от грядущих угроз?
00:04:28Реальность такова, что мы больше не боремся только с хакерами-людьми.
00:04:32Мы вступаем в эру войны машин против машин.
00:04:36Вот три столпа безопасности, на которых стоит сосредоточиться в этом году.
00:04:40Первое: отдавайте приоритет безопасности памяти.
00:04:43Для всех новых разработок выбирайте такие языки, как Rust, Go, Swift и другие.
00:04:49Отказ от C и C++ — это самый эффективный способ снизить плотность уязвимостей.
00:04:55Второе: внедрите мониторинг на базе ИИ.
00:04:58Поскольку атакующие используют ИИ для взлома в течение 24 часов после раскрытия данных,
00:05:05ручного контроля больше недостаточно.
00:05:06Вам следует развернуть автоматизированные системы обнаружения, использующие
00:05:12поведенческий анализ для выявления аномалий в реальном времени.
00:05:13Отличным инструментом для такого мониторинга является Better Stack.
00:05:17В Better Stack теперь встроено нативное ИИ-отслеживание ошибок, включая ИИ-SRE,
00:05:24который оповестит вас в любое время суток, если в системе что-то пойдет не так.
00:05:28И третье: минимизируйте поверхность цепочки поставок.
00:05:32Этот урок применим ко всей современной разработке.
00:05:35Сокращайте количество зависимостей.
00:05:37Большинство уязвимостей исходит от сторонних плагинов и библиотек.
00:05:41Это было особенно заметно на примере опасного эксплойта React to Shell в прошлом году,
00:05:46о котором Джеймс сделал отличный разбор — вы можете посмотреть его по ссылке.
00:05:49И, наконец, четвертое: подпишитесь на наш канал, чтобы не пропустить
00:05:54обновления о новых критических уязвимостях.
00:05:58Мы в Better Stack стараемся держать вас в курсе последних событий,
00:06:03включая оперативный разбор свежеобнаруженных угроз.
00:06:06Надеюсь, это видео было полезным, и если это так, дайте нам знать,
00:06:10нажав кнопку лайка под этим роликом.
00:06:13С вами был Андрес из Better Stack, увидимся в следующих видео.