Sonatype的第八次年度软件供应链状况 告显示,截至今年为止,专家们已经发现了88000个恶意开源包,比2019年的同一数字增加了三位数,表明企业的攻击面正在快速增长。该 告是根据公共和专有数据分析编制的,包括1310亿次Maven Central下载和成千上万的开源项目。
告解读
告详细介绍了企业系统面临的日益增长的风险,这些风险既来自于威胁者插入软件库的恶意软件包,也来自于开发团队不知不觉中下载的意外漏洞。
恶意活动的激增证明了这些团队越来越多地使用开放源代码包来加快上市时间。Sonatype估计,今年的开源请求将超过三万亿。
开放源码消费的巨大规模和软件依赖性带来的额外复杂性可能意味着威胁和漏洞会被开发者遗漏。
告指出,总体而言,96%的含有已知漏洞的开源Java下载是可以避免的,因为有更好的版本,但由于某种原因没有被使用。不幸的是,许多组织似乎是在错误的安全意识下运作。
如何保护开源软件供应链安全
供应链投毒的事件层出不穷
比如曾在2018年发生的event-stream 投毒事件。这次node-ipc 库中被植入恶意代码就是一个典型的案例。
比如Log4Shell 事件、Linux “脏管道”事件、周下载量超过700万次的 JavaScript 流行库 ua-parser 账户遭接管事件、影响多家大厂的依赖混淆事件、SolarWinds事件、PHP源代码事件等等。
供应链安全风险是各个层面、各个环节、各个维度的。其最大的挑战就在于供应链的复杂性。首先,针对供应链各环节,需要有检测安全风险的能力;第二,供应链安全是动态的,需要持续监测,并配有安全运营机制。
当前,从软件供应链安全的角度来看,国内监管机构已陆续推出相关标准及政策,但针对关键基础设施和重要信息系统相关的企业和单位,并没有制定具体的举措和细则要求。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!