首页 > 其他分享 >开源软件供应链攻击激增430%,供应链安全不容小觑丨行业报告解读

开源软件供应链攻击激增430%,供应链安全不容小觑丨行业报告解读

时间:2022-10-25 11:13:28浏览次数:63  
标签:漏洞 开发人员 开源 安全 供应链 430% 软件

近日,业内知名机构 Sonatype 在本月18号的 DevOps 企业大会上发布其年度软件供应链现状报告。本文为你总结该报告的关键信息,带你了解今年的软件供应链安全状况。

开源存储库攻击三年内飙升742%

根据报告显示,在过去三年中,针对上游开源代码存储库的恶意活动,旨在将恶意软件植入软件组件的攻击数量增加了742%!如果下游 DevOps 团队使用这些组件时,会给软件供应链造成严重后果。

报告还提到,过去三年里在各种开源存储库中共发现了近95000个新发布的恶意软件包,而在过去的一年里就有55000个。 在开源盛行的时代,现代企业几乎都依赖开源。根据数据可以看出开源存储库作为恶意攻击的入口的数量并没有放缓反而激增,这样说明早期检测已知和未知的安全漏洞比以往任何时候都更加重要,在恶意组件出现之前有效阻止是风险防御的基本要素,也是保护软件供应链安全关键的一步。

根据 Sonatype 的 2021 年软件供应链现状报告,为了加快软件上市时间,在去年全球开发人员去年从第三方生态系统借用了超过 2.2 万亿个开源软件包或组件。据调查,超过41%的企业表示对开源的安全性并没有信心,还有49%的受访者表示他们所在的企业制定了规范开源使用的政策。

96%已知漏洞开源下载是可避免的

根据报告结果显示,到目前为止已经发现了88000个恶意开源软件包,这只是一个保守数字,实际可能要比这个数字高得多。这说明了威胁参与者插入存储库的恶意程序包以及 DevOps 团队无意中下载的意外漏洞对企业系统造成的日益增长的风险,而企业攻击面也正在快速增长。开源的庞大规模和软件依赖项引入的额外复杂性可能意味着开发人员无法准确有效识别所有威胁和漏洞。

调查表示,现在平均每个 Java 应用程序包含 148 个依赖项,这比去年增加了 20 个。报告估计,随着 Java 项目平均每年更新 10 次,开发人员必须每年为他们所处理的每个应用程序跟踪近 1500 次依赖项更改的情报。然而,开发人员似乎缺乏对这些开发环境的可见性。在过去一年里,影响开源项目的七个错误中,传递依赖占了六个。报告还指出,总体而言,有96%的包含已知漏洞的开源 Java 下载是可以避免的,因为有更好的版本可用,但由于某种原因没有使用。

很遗憾,许多企业似乎在一种虚假的安全感下进行开发和运营。报告显示,68%的受访者坚信他们的应用程序没有使用易受攻击的库。然而,企业应用程序的随机样本显示68%的应用程序包含已知漏洞。企业希望他们的开发人员在的日常工作中始终关注许可证合规性问题、多个项目发布、依赖项更改和开源生态系统知识。这一结果也发人深省,为了更好地保障企业软件供应链安全,企业迫切需要优先考虑软件供应管理,以便能够更好地应对安全风险、提高开发人员效率并实现更高效的创新。

开源供应链攻击激增430%

报告还对 24000 个开源项目和 15000 个开发组织的分析以及对 5600 名软件开发人员采访进行了采访。在2019 年 7 月至 2020 年 5 月期间记录了 929 次攻击。根据该报告,2020 年所有主要开源生态系统的组件下载请求将达到 1.5 万亿次,由于在安装包期间很容易触发恶意代码,Node.js (npm) 和 Python (PyPI) 存储库是攻击者最常攻击的目标之一。

在开源世界中,鉴于项目与项目之间的关联性,开源项目可能有其他项目的数百或数千个依赖项,这些项目可能包含可被利用的已知漏洞。报告还显示平均应用程序开发项目包含 49 个漏洞,跨越 80 个直接依赖项,有40%的问题存在于十分难找到的间接依赖项中。报告称,2019 年全球超过 10% 的 Java OSS 下载存在至少一个开源漏洞,新漏洞在公开披露后的三天内就被广泛利用。

如今,应用程序中 90% 的组件是开源的,其中 11% 已知包含漏洞。攻击者会在产品漏洞被披露后立即在企业进行补救之前发起攻击。由于攻击者正在将他们的攻击方向转移到软件供应链上游植入恶意开源组件,而组件可能被分发到供应链下游,然后被隐秘地利用。由于攻击的“上游化”和隐秘性,软件供应链攻击数量增加430%也在情理之中了。不过报告还表示,企业的开发团队可以尝试在软件开发生命周期中使用自动化软件成分分析(SCA)工具,并集中维护应用程序的软件物料清单(SBOM),这样能够有效缓解相关软件供应链安全风险。

Seal 软件供应链防火墙为保障企业软件供应链安全而生,旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等4大防护,通过全链路扫描、问题关联及风险阻止的方式保护企业软件供应链安全,降低企业安全漏洞修复成本。在最新版本中,Seal 软件供应链防火墙增强了依赖项分析,用户可以查看和检索单个项目或全局的依赖项组件,并提供发行信息、许可证、漏洞情况、安全评分等信息,支持导出软件物料清单(SBOM),同时基于Seal 自研的聚合漏洞数据库优化漏洞匹配规则。另外,Seal 支持 IaC 安全扫描,可以检测包括 Dockerfile、Kubernetes 资源文件、Terraform 文件等基础设施代码中的安全问题,为企业提供坚实保障。

标签:漏洞,开发人员,开源,安全,供应链,430%,软件
From: https://www.cnblogs.com/sealio/p/16824203.html

相关文章

  • LAXCUS分布式操作系统正式开源!
    Laxcus分布式操作系统和源程序代码,此前一直在专业领域传播,随着Laxcus分布式操作系统应用部署到各个行业,用户规模越来越多,开放共享的声音越来越大,所以产品团队决定:Laxcus分布......
  • 赴一场开源盛会丨 10 月 29 日 COSCon'22 开源年会杭州分会场,这里只差一个「你」!
    袋鼠云开源框架钉钉技术交流群(30537511),欢迎对大数据开源项目有兴趣的同学加入交流最新技术信息,开源项目库地址:​​https://github.com/DTStack/Taier​​......
  • 实验5:开源控制器实践——POX
    一、实验目的1.能够理解POX控制器的工作原理;2.通过验证POX的forwarding.hub和forwarding.l2_learning模块,初步掌握POX控制器的使用方法;3.能够运用POX控制器编写自定......
  • 开源项目篇之第三方登录一键集成
    开源项目篇之第三方登录一键集成我的主页项目名称:JustAuth项目地址:Github、Gitee、官网项目评价:Gitee最有价值开源项目,小而全而美的第三方登录开源组件。项目描述:J......
  • Linux获得真正3D桌面 开源支持者喜不自禁
    使用硬件加速,可以实现Linux系统下真正意义上的3D图形效果。compiz则是其窗口管理器。最新的cvs版本可以从freedesktop.org下载。 显卡通过Xgl可以加强图像的特殊效果,......
  • openGemini内核源码正式对外开源
    摘要:openGemini是一个开源的分布式时序数据库系统,可广泛应用于物联网、车联网、运维监控、工业互联网等业务场景,具备卓越的读写性能和高效的数据分析能力。本文分享自华为......
  • 实验5:开源控制器实践——POX
    (一)基本要求1.搭建下图所示SDN拓扑,协议使用OpenFlow1.0,控制器使用部署于本地的POX(默认监听6633端口)sudomn--topo=single,3--mac--controller=remote,ip=127.0.0.1,......
  • .NET开源进行时:消除误解、努力前行(本文首发于《程序员》2015第10A期的原始版本)
    最近几年,微软对于开源越来越支持,但是给开发社区的形象还没有转变过来。有篇文章《对微软技术的典型误解和偏见》写的非常贴切,对微软技术的误解与偏见在社......
  • 实验6:开源控制器实践——RYU
    实验6:开源控制器实践——RYU一、实验目的能够独立部署RYU控制器;能够理解RYU控制器实现软件定义的集线器原理;能够理解RYU控制器实现软件定义的交换机原理。二、实......
  • 实验5:开源控制器实践——POX
     实验5:开源控制器实践——POX一、实验目的能够理解POX控制器的工作原理;通过验证POX的forwarding.hub和forwarding.l2_learning模块,初步掌握POX控制器的使用方法;......