针对开源代码库的攻击年均增长742%

根据Sonatype的年度软件供应链状况报告,2022年针对开源存储库的已知攻击同比增长了633%,自2019年以来,平均年增长高达742%。

在分析了来自公共和专有来源的数据后,Sonatype表示,开源软件的受欢迎程度和增长继续攀升。与开源开发相关的四个主要生态系统:Java,JavaScript,Python和.NET在不久的将来将超过三万亿次下载。

但是,开源盛况背后安全风险也在不断累积。

技术债务高企

对5.5万个企业应用程序的随机样本进行的研究表明,68%的应用程序在底层开源软件组件中存在已知漏洞。

“软件供应链上流动着海量的第三方代码。”研究人员指出:“然而,随着时间的推移,已发布的代码会产生技术债务,如果不保持最新状态,会产生复合安全漏洞的可能性。”

根据报告,很多开源安全问题完全可以避免,例如用户经常会忽略修补或改进的新版本去下载存在漏洞的旧版本,每月都会有12亿个已知易受攻击的Java依赖项被下载。

开发人员不堪重负

负责管理开源代码库的开发人员面临的问题比以往任何时候都要复杂:Java应用程序平均包含148个依赖项(比2021年的平均值多20个),平均每年需要更新10次。

每个依赖项都可能包含漏洞,开发人员必须跟踪每个应用每年可能发生的数千个更改。因此,错误不可避免。

因此,对于开发团队来说,至关重要的是要了解过时、易受攻击的开源软件的潜在风险,并考虑采用自动化方法来减轻负担。

报告链接:

https://www.sonatype.com/state-of-the-software-supply-chain/introduction

前一篇企业如何选择CNAPP云安全方案?
后一篇权威认可 | 海云安实力入选工信部"CAPPVD安全漏洞库技术支撑单位"