歡迎您光臨本站 註冊首頁

2020 年軟體供應鏈狀況報告:下一代開源網路攻擊增長 430%

←手機掃碼閱讀     admin @ 2020-08-15 , reply:0

Sonatype 釋出了《2020 年軟體供應鏈狀況》報告指出,旨在積極滲透開源軟體供應鏈的下一代網路攻擊大規模激增 430%。

這是 Sonatype 釋出的第六份年度軟體供應鏈狀況報告,此報告分析了超過 1.5 萬億個開源下載請求,24,000 個開源專案和 5,600 個企業開發團隊。報告指出,在過去的 12 個月中,其共記錄了 929 次下一代軟體供應鏈攻擊。相比之下,2015 年 2 月至 2019 年 6 月之間記錄的此類攻擊則只有 216 起。

對此,Sonatype 執行長 Wayne Jackson 表示,“ 在 2017 年臭名昭著的 Equifax 違規事件發生之後,企業大幅地增加了投資,以防止對開源軟體供應鏈的類似攻擊。我們的研究表明,商業工程團隊應對新的零日漏洞的能力正在提高。因此,當對手將活動轉移到“上游”時,下一代供應鏈攻擊增加了 430% 也就不足為奇了,因為攻擊者可以感染單個開源元件,該元件有可能被“下游”分發,並被戰略性地、祕密地利用。”

研究發現,企業軟體開發團隊對開源軟體元件中漏洞的響應時間也有所不同。其中,有 51% 的組織需要一週以上的時間來補救新的零日漏洞。此外,報告還指出,高效能的開發團隊在檢測和修復開放原始碼漏洞方面的速度提高了 26 倍,並且部署程式碼變更的頻率也比同行高 15 倍。同時,他們使用自動化軟體組成分析(SCA)的可能性要高出 59%,且成功更新依賴關係和修復漏洞而不出現破綻的可能性也要高出近 5 倍。

報告中的一些其他發現包括有:

  • 到 2020 年,所有主要開源生態系統的元件下載請求預計將達到 1.5 萬億
  • 開發人員下載的 Java OSS 元件中有 10% 存在已知的安全漏洞
  • 開發人員構建到其應用程式中的開源元件中,有 11% 存在已知的漏洞,平均發現 38 個漏洞
  • 40% 的 npm 軟體包包含有已知漏洞的依賴項
  • 在公開披露後的三天內,新的開源零日漏洞就已被利用
  • ......

完整報告地址:https://www.sonatype.com/2020ssc


[admin ]

來源:OsChina
連結:https://www.oschina.net/news/117938/2020-state-of-the-software-supply-chain
2020 年軟體供應鏈狀況報告:下一代開源網路攻擊增長 430%已經有29次圍觀

http://coctec.com/news/all/show-post-249031.html