Sonatype 的数据显示,过去三年,针对上游开源代码库的恶意活动数量增长了三位数。
该安全供应商在最新公布的数据中声称,检测到在软件组件中植入恶意软件的攻击增加了700% ,当下游 DevOps 团队使用这些组件时,可能会造成严重破坏。
Sonatype 在过去一年中发现了超过55000个新发布的恶意软件包,在过去三年中发现了近95000个恶意软件包。
“几乎所有现代企业都依赖于开源。显然,使用开源软件库作为恶意攻击的切入点并没有显示出放缓的迹象,这使得早期发现已知和未知的安全漏洞变得比以往任何时候都更加重要。”Sonatype 的联合创始人兼首席技术官布莱恩 · 福克斯说。
“在恶意组件出现之前阻止它们是风险预防的一个基本要素,应该成为围绕保护软件供应链的每一次对话的一部分。”
Sonatype 说,防止这种类型的攻击是唯一的办法,因为如果恶意组件被下载到开发人员的机器上——即使它没有用在成品上——损害可能已经造成了。
该供应商补充说,这一挑战的规模对于人工防范威胁来说也太大了。
事实上,根据 Sonatype 的《2021年软件供应链状况 告》 ,全球开发者去年估计已经从第三方生态系统借用了超过2.2万亿个开源软件包或组件,以加快上市时间。
这个数据与 Linux 基金会今年早些时候的一份 告相吻合,该 告声称超过五分之二(41%)的组织对他们的开源安全性没有信心,只有一半(49%)声称甚至有一个政策涵盖了开源的使用。
它还显示,平均应用程序开发项目包含49个漏洞,跨越80个直接依赖关系,而40% 的错误出现在难以找到的间接依赖关系中。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!