信息來(lái)源：FreeBuf

9月20日，安全供應(yīng)商Sonatype發(fā)布報(bào)告稱，針對(duì)上游開(kāi)源代碼庫(kù)的惡意活動(dòng)數(shù)量在過(guò)去三年中翻了7倍。

根據(jù)Sonatype的研究分析，為了利用上游開(kāi)放源碼生態(tài)系統(tǒng)的弱點(diǎn)，攻擊者持續(xù)利用開(kāi)源代碼庫(kù)對(duì)企業(yè)組織實(shí)施攻擊。他們將惡意代碼置入軟件組件，這些組件被分發(fā)到下游，危及眾多被企業(yè)和消費(fèi)者依賴的應(yīng)用程序。

截至本報(bào)告發(fā)表時(shí)，Sonatype已經(jīng)在過(guò)去一年的開(kāi)源軟件庫(kù)中發(fā)現(xiàn)了超過(guò)55000個(gè)新發(fā)布的惡意軟件包，在過(guò)去三年中則發(fā)現(xiàn)了近95000個(gè)。

"幾乎每一個(gè)現(xiàn)代企業(yè)都依賴開(kāi)源代碼，我們的研究顯然證明，使用開(kāi)放源碼庫(kù)作為惡意攻擊切入點(diǎn)的行為沒(méi)有放緩的跡象，這使得早期檢測(cè)已知和未知的安全漏洞比以往任何時(shí)候都更加重要，“Sonatype公司的聯(lián)合創(chuàng)始人兼首席技術(shù)官Brian Fox說(shuō)。”在惡意組件滲透進(jìn)來(lái)之前實(shí)施攔截是預(yù)防風(fēng)險(xiǎn)的一個(gè)基本要素，應(yīng)該成為保護(hù)軟件供應(yīng)鏈每個(gè)階段性步驟的一部分。“

Sonatype的這份報(bào)告與今年6月Linux 基金會(huì)發(fā)布的一份報(bào)告相吻合，該報(bào)告聲稱超過(guò)40% 的組織對(duì)其開(kāi)源安全性沒(méi)有信心，只有49%的組織聲稱擁有自己相應(yīng)的應(yīng)對(duì)策略。