Sonatype發布了《2020年軟件供應鏈狀況》報告指出,旨在積極滲透開源軟件供應鏈的下一代網絡攻擊大規模激增430%。
這是Sonatype發布的第六份年度軟件供應鏈狀況報告,此報告分析了超過1.5萬億個開源下載請求,24,000個開源項目和5,600個企業開發團隊。報告指出,在過去的12個月中,其共記錄了929次下一代軟件供應鏈攻擊。相比之下,2015年2月至2019年6月之間記錄的此類攻擊則只有216起。
對此,Sonatype首席執行官WayneJackson表示,“在2017年臭名昭著的Equifax違規事件發生之后,企業大幅地增加了投資,以防止對開源軟件供應鏈的類似攻擊。我們的研究表明,商業工程團隊應對新的零日漏洞的能力正在提高。因此,當對手將活動轉移到“上游”時,下一代供應鏈攻擊增加了430%也就不足為奇了,因為攻擊者可以感染單個開源組件,該組件有可能被“下游”分發,并被戰略性地、秘密地利用。”
研究發現,企業軟件開發團隊對開源軟件組件中漏洞的響應時間也有所不同。其中,有51%的組織需要一周以上的時間來補救新的零日漏洞。此外,報告還指出,高性能的開發團隊在檢測和修復開放源代碼漏洞方面的速度提高了26倍,并且部署代碼變更的頻率也比同行高15倍。同時,他們使用自動化軟件組成分析(SCA)的可能性要高出59%,且成功更新依賴關系和修復漏洞而不出現破綻的可能性也要高出近5倍。報告中的一些其他發現包括有:
到2020年,所有主要開源生態系統的組件下載請求預計將達到1.5萬億
開發人員下載的JavaOSS組件中有10%存在已知的安全漏洞
開發人員構建到其應用程序中的開源組件中,有11%存在已知的漏洞,平均發現38個漏洞
40%的npm軟件包包含有已知漏洞的依賴項
在公開披露后的三天內,新的開源零日漏洞就已被利用
......
完整報告地址:https://www.sonatype.com/2020ssc
