行業(yè)動(dòng)態(tài)

2020 年軟件供應(yīng)鏈狀況報(bào)告:下一代開源網(wǎng)絡(luò)攻擊增長(zhǎng) 430%

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-08-17    瀏覽次數(shù):
 

信息來源:51CTO

 

Sonatype 發(fā)布了《2020 年軟件供應(yīng)鏈狀況》報(bào)告指出,旨在積極滲透開源軟件供應(yīng)鏈的下一代網(wǎng)絡(luò)攻擊大規(guī)模激增 430%。

這是 Sonatype 發(fā)布的第六份年度軟件供應(yīng)鏈狀況報(bào)告,此報(bào)告分析了超過 1.5 萬億個(gè)開源下載請(qǐng)求,24,000 個(gè)開源項(xiàng)目和 5,600 個(gè)企業(yè)開發(fā)團(tuán)隊(duì)。報(bào)告指出,在過去的 12 個(gè)月中,其共記錄了 929 次下一代軟件供應(yīng)鏈攻擊。相比之下,2015 年 2 月至 2019 年 6 月之間記錄的此類攻擊則只有 216 起。

對(duì)此,Sonatype 首席執(zhí)行官 Wayne Jackson 表示,“ 在 2017 年臭名昭著的 Equifax 違規(guī)事件發(fā)生之后,企業(yè)大幅地增加了投資,以防止對(duì)開源軟件供應(yīng)鏈的類似攻擊。我們的研究表明,商業(yè)工程團(tuán)隊(duì)?wèi)?yīng)對(duì)新的零日漏洞的能力正在提高。因此,當(dāng)對(duì)手將活動(dòng)轉(zhuǎn)移到“上游”時(shí),下一代供應(yīng)鏈攻擊增加了 430% 也就不足為奇了,因?yàn)楣粽呖梢愿腥締蝹€(gè)開源組件,該組件有可能被“下游”分發(fā),并被戰(zhàn)略性地、秘密地利用?!?

研究發(fā)現(xiàn),企業(yè)軟件開發(fā)團(tuán)隊(duì)對(duì)開源軟件組件中漏洞的響應(yīng)時(shí)間也有所不同。其中,有 51% 的組織需要一周以上的時(shí)間來補(bǔ)救新的零日漏洞。此外,報(bào)告還指出,高性能的開發(fā)團(tuán)隊(duì)在檢測(cè)和修復(fù)開放源代碼漏洞方面的速度提高了 26 倍,并且部署代碼變更的頻率也比同行高 15 倍。同時(shí),他們使用自動(dòng)化軟件組成分析(SCA)的可能性要高出 59%,且成功更新依賴關(guān)系和修復(fù)漏洞而不出現(xiàn)破綻的可能性也要高出近 5 倍。報(bào)告中的一些其他發(fā)現(xiàn)包括有:

  • 到 2020 年,所有主要開源生態(tài)系統(tǒng)的組件下載請(qǐng)求預(yù)計(jì)將達(dá)到 1.5 萬億
  • 開發(fā)人員下載的 Java OSS 組件中有 10% 存在已知的安全漏洞
  • 開發(fā)人員構(gòu)建到其應(yīng)用程序中的開源組件中,有 11% 存在已知的漏洞,平均發(fā)現(xiàn) 38 個(gè)漏洞
  • 40% 的 npm 軟件包包含有已知漏洞的依賴項(xiàng)
  • 在公開披露后的三天內(nèi),新的開源零日漏洞就已被利用
  • ......

完整報(bào)告地址:https://www.sonatype.com/2020ssc

 
 

上一篇:2020年8月14日 聚銘安全速遞

下一篇:美企被爆向政府倒賣用戶信息,中國(guó)軟件危害國(guó)家安全?