行业新闻与博客

安全专家警告说，直接针对开源组件的攻击将比去年同期增长 430％，以便秘密感染关键软件供应链。

根据 Sonatype 的年度软件供应链状况报告，在 2019年7月至 2020年5月之间记录了 929 起攻击。该研究是根据对 24,000 个开源项目和 15,000 个开发组织的分析以及对 5600 位软件开发人员的访谈而编写的。

由于 DevOps 团队为了加快产品上市速度而在开源团队中大受欢迎，因此恶意行为者对开源组件的针对性令人担忧。

根据该报告，预计到 2020年所有主要开源生态系统中的组件下载请求将达到 1.5 万亿。

Node.js（NPM）和 Python（PyPI）存储库被认为是攻击者最常见的目标，因为在安装软件包的过程中很容易触发恶意代码。

Sonatype 声称，这种类型的软件供应链攻击之所以可能，是因为在开源世界中，很难区分好主角和坏主角，并且由于项目的相互联系性质。

在后一点上，开源项目可能对其他项目具有成百上千的依赖关系，而这些其他项目可能包含可以利用的已知漏洞。

报告称，在 2019年，全球 Java OSS 下载中超过 10％至少具有一个开放源漏洞，在公开披露后的三天内就广泛利用了新的漏洞。

如今，应用程序中 90％的组件是开源的，已知其中 11％包含漏洞。

Sonatype 首席执行官 Wayne Jackson 区分了“下一代”上游攻击和“旧版”软件供应链攻击，在这种攻击中，攻击者会在组织有时间补救之前就立即对产品中的漏洞进行披露。

他说：“我们的研究表明，商业工程团队对新的零日漏洞的响应能力正在提高。”

“因此，当对手将活动转移到“上游”时，下一代供应链攻击增加了 430％，这并不奇怪，他们可以感染单个开源组件，并有可能在“下游”分发。进行战略性和秘密利用。”

报告称，能够减轻这些风险的开发团队更有可能在整个开发生命周期中使用自动化软件组成分析（SCA）工具，并为应用程序集中维护软件物料清单（SBOM）。

本文由机器译制