信息來源:51CTO
Sonatype 發(fā)布了《2020 年軟件供應(yīng)鏈狀況》報告指出,旨在積極滲透開源軟件供應(yīng)鏈的下一代網(wǎng)絡(luò)攻擊大規(guī)模激增 430%��。
這是 Sonatype 發(fā)布的第六份年度軟件供應(yīng)鏈狀況報告����,此報告分析了超過 1.5 萬億個開源下載請求��,24,000 個開源項目和 5,600 個企業(yè)開發(fā)團隊��。報告指出�,在過去的 12 個月中��,其共記錄了 929 次下一代軟件供應(yīng)鏈攻擊�����。相比之下�,2015 年 2 月至 2019 年 6 月之間記錄的此類攻擊則只有 216 起。
對此��,Sonatype 首席執(zhí)行官 Wayne Jackson 表示��,“ 在 2017 年臭名昭著的 Equifax 違規(guī)事件發(fā)生之后���,企業(yè)大幅地增加了投資,以防止對開源軟件供應(yīng)鏈的類似攻擊����。我們的研究表明����,商業(yè)工程團隊?wèi)?yīng)對新的零日漏洞的能力正在提高��。因此��,當(dāng)對手將活動轉(zhuǎn)移到“上游”時��,下一代供應(yīng)鏈攻擊增加了 430% 也就不足為奇了��,因為攻擊者可以感染單個開源組件��,該組件有可能被“下游”分發(fā)���,并被戰(zhàn)略性地���、秘密地利用?�!?
研究發(fā)現(xiàn)�����,企業(yè)軟件開發(fā)團隊對開源軟件組件中漏洞的響應(yīng)時間也有所不同�。其中����,有 51% 的組織需要一周以上的時間來補救新的零日漏洞�。此外,報告還指出���,高性能的開發(fā)團隊在檢測和修復(fù)開放源代碼漏洞方面的速度提高了 26 倍�����,并且部署代碼變更的頻率也比同行高 15 倍�����。同時��,他們使用自動化軟件組成分析(SCA)的可能性要高出 59%���,且成功更新依賴關(guān)系和修復(fù)漏洞而不出現(xiàn)破綻的可能性也要高出近 5 倍。報告中的一些其他發(fā)現(xiàn)包括有:
-
到 2020 年��,所有主要開源生態(tài)系統(tǒng)的組件下載請求預(yù)計將達(dá)到 1.5 萬億
-
開發(fā)人員下載的 Java OSS 組件中有 10% 存在已知的安全漏洞
-
開發(fā)人員構(gòu)建到其應(yīng)用程序中的開源組件中��,有 11% 存在已知的漏洞���,平均發(fā)現(xiàn) 38 個漏洞
-
40% 的 npm 軟件包包含有已知漏洞的依賴項
-
在公開披露后的三天內(nèi)���,新的開源零日漏洞就已被利用
-
......
完整報告地址:https://www.sonatype.com/2020ssc
