軟件供應鏈的攻擊在三年內(nèi)猛增742%

根據(jù)軟件供應鏈管理公司Sonatype的一份新報告，涉及惡意第三方組件的供應鏈攻擊記錄數(shù)量在過去一年增加了633%，目前已知的案例超過8.8萬起。與此同時，軟件組件從它們自己的依賴繼承而來的傳遞性漏洞實例也達到了前所未有的水平，并困擾著三分之二的開源庫。

在發(fā)布的《軟件供應鏈狀況》報告中表示:“依賴關系的網(wǎng)絡化性質(zhì)突出了對這些復雜供應鏈的可見性和意識的重要性?！薄斑@些依賴會影響我們的軟件，因此了解它們的來源對漏洞響應至關重要。許多組織沒有所需的可見性，因此在2022年夏天之后仍在繼續(xù)使用Log4Shell的事件響應程序。

Log4Shell是2021年11月在Log4j中發(fā)現(xiàn)的一個關鍵漏洞。Log4j是一個廣泛流行的開源Java庫，用于記錄日志，并被應用在數(shù)百萬企業(yè)應用程序和軟件產(chǎn)品中，通常作為間接依賴項。根據(jù)Sonatype的監(jiān)測，截至2022年8月，固定版本Log4j的采用率約為65%。此外，這甚至沒有考慮到一個事實，即Log4Shell漏洞起源于一個名為JndiManager的Java類，它是Log4j-core的一部分，但也被783個其他項目借用，現(xiàn)在在超過19,000多個軟件組件中發(fā)現(xiàn)。

Log4Shell突出了開源軟件生態(tài)系統(tǒng)中存在的固有風險，這是現(xiàn)代軟件開發(fā)的核心以及正確管理這些風險的必要性。同時這使得私人組織、軟件存儲庫管理人員、Linux基金會和政府機構發(fā)起幾項保護軟件供應鏈的倡議。然而，在開源供應鏈管理方面，大多數(shù)組織還遠遠沒有達到他們需要達到的水平。

開源消費持續(xù)增長

從頂級組件存儲庫——Maven Central (Java)、npm (JavaScript)、PyPi (Python)和NuGet (. net)——下載的包的平均年增長率為33%。這低于前幾年，例如2021年73%的增長，但所有存儲庫的組件下載數(shù)量已經(jīng)超過2021年的數(shù)字，總計超過3萬億。僅npm知識庫今年提供的下載量就超過2021 年所有四個存儲庫的下載量。

開源消費率的下降并不一定是由于用戶實施了更嚴格的開源采購和管理政策，而是考慮到這些不同編程語言的生態(tài)系統(tǒng)已經(jīng)達到的規(guī)模以及它們添加新項目和發(fā)布的速度，這是正常的。

Sonatype總結道:“盡管增長速度正在放緩，但增長的絕對規(guī)模仍在前一年的基礎上繼續(xù)復合?！薄伴_源應用的步伐在短時間內(nèi)沒有任何放緩的跡象?！?/p>

供應鏈攻擊類型已經(jīng)多樣化

截至去年年底，Sonatype追蹤了大約1.2萬起已知的惡意供應鏈攻擊事件，但現(xiàn)在這一數(shù)字已超過8.8萬起，同比增長633%。該公司還發(fā)現(xiàn)了97334個以各種方式分發(fā)的惡意包。

惡意包增長的主要原因之一是一種名為依賴混淆的攻擊技術，該技術于2021年2月由安全研究人員公開披露，自那以來得到了廣泛采用。該技術利用大多數(shù)包管理客戶端的行為，配置為在公共社區(qū)存儲庫和內(nèi)部存儲庫中搜索包。

另一種眾所周知的大規(guī)模攻擊是typosquatting和brandjacking。typosquatting指的是攻擊者注冊惡意包，其名稱與一些流行和廣泛使用的包的名稱相似。這是一種被動攻擊，依賴于開發(fā)人員在構建腳本或命令中輸入包名時犯的打字錯誤。

Brandjacking是類似的，但針對的是其他包維護者，希望他們在自己的組件中包含一個被劫持的或拼寫錯誤的包作為依賴項。當合法包的維護者將所有權轉讓給其他人時，或者當他們停止開發(fā)該包并刪除它，舊的名稱變?yōu)榭捎脮r，也會發(fā)生這種情況。

惡意代碼注入是另一種更具針對性的技術，涉及攻擊者破壞開發(fā)人員的系統(tǒng)或代碼存儲庫，并在他們不知情的情況下將惡意代碼注入其包中。當包維護者授予多方提交對其代碼存儲庫的訪問權限，而這些參與方有惡意意圖或受到損害時，也會發(fā)生這種情況。

公司對其開源實踐過于自信

Sonatype對662名企業(yè)工程專業(yè)人員進行了一項調(diào)查，并詢問了40個關于他們使用開源組件、依賴管理、治理、審批流程和工具的問題。大多數(shù)反饋都表明供應鏈管理水平低于產(chǎn)生高質(zhì)量結果的要求。

得分最高的是修復和應用程序清單類別。例如，68%的受訪者表示，他們確信他們的應用程序沒有使用已知的易受攻擊的庫，84%的受訪者表示他們仔細檢查了他們使用的開源組件的安全歷史記錄。然而，Sonatype對隨機選擇的55000個企業(yè)應用程序的掃描顯示，其中68%的應用程序存在已知的漏洞。

在發(fā)生了一系列備受矚目的安全漏洞之后，與去年這個時候相比，今天組織更多地關注對軟件供應鏈的保護。幾種度量標準可以用來判斷開源項目的安全實踐：如組織是否確保他們正在修復其最關鍵應用程序中的漏洞;是否同時實施 DevSecOps 最佳實踐，使用靜態(tài)代碼分析工具，避免危險的編碼實踐，在合并新代碼前執(zhí)行代碼檢查，聲明并固定依賴關系等。這將確保盡可能少的漏洞進入下一代應用程序。

了解更多可參考：

https://www.sonatype.com/state-of-the-software-supply-chain/introduction

來源：

https://www.csoonline.com/article/3677228/supply-chain-attacks-increased-over-600-this-year-and-companies-are-falling-behind.html