信息來源：FreeBuf

9月20日，安全供應商Sonatype發(fā)布報告稱，針對上游開源代碼庫的惡意活動數量在過去三年中翻了7倍。

根據Sonatype的研究分析，為了利用上游開放源碼生態(tài)系統(tǒng)的弱點，攻擊者持續(xù)利用開源代碼庫對企業(yè)組織實施攻擊。他們將惡意代碼置入軟件組件，這些組件被分發(fā)到下游，危及眾多被企業(yè)和消費者依賴的應用程序。

截至本報告發(fā)表時，Sonatype已經在過去一年的開源軟件庫中發(fā)現了超過55000個新發(fā)布的惡意軟件包，在過去三年中則發(fā)現了近95000個。

"幾乎每一個現代企業(yè)都依賴開源代碼，我們的研究顯然證明，使用開放源碼庫作為惡意攻擊切入點的行為沒有放緩的跡象，這使得早期檢測已知和未知的安全漏洞比以往任何時候都更加重要，“Sonatype公司的聯(lián)合創(chuàng)始人兼首席技術官Brian Fox說。”在惡意組件滲透進來之前實施攔截是預防風險的一個基本要素，應該成為保護軟件供應鏈每個階段性步驟的一部分。“

Sonatype的這份報告與今年6月Linux 基金會發(fā)布的一份報告相吻合，該報告聲稱超過40% 的組織對其開源安全性沒有信心，只有49%的組織聲稱擁有自己相應的應對策略。