開源網(wǎng)絡(luò)攻擊增加了650%，熱門項目更容易受到攻擊

Sonatype 發(fā)布的一份報告顯示，開源供需動態(tài)持續(xù)強勁增長。此外，關(guān)于開源安全風險，該報告顯示，針對上游公共存儲庫的供應(yīng)鏈攻擊同比增長了 650% ，并且在流行和非流行項目版本中存在的已知漏洞水平方面存在著有趣的二分法。

根據(jù)從702名軟件工程專業(yè)人士收集的調(diào)查反饋，研究發(fā)現(xiàn)人們對軟件鏈管理實踐的主觀信念與10萬個應(yīng)用程序的客觀結(jié)果之間存在根本脫節(jié)。

該報告分析了與Java (Maven Central)、JavaScript (npmjs)、Python (PyPI) 和 .Net (nuget) 生態(tài)系統(tǒng)相關(guān)的運營供應(yīng)、需求和安全趨勢。此外，研究人員研究了在過去12個月里，從開發(fā)人員進行的100,000個生產(chǎn)應(yīng)用程序和4,000,000個組件遷移中收集的軟件工程實踐。

開源供應(yīng)、需求和安全動態(tài)

供應(yīng)量增加20%。前四大開源生態(tài)系統(tǒng)現(xiàn)在包含37451,682個不同版本的組件。

需求增加73%。到2021年，世界各地的開發(fā)者將從前四大生態(tài)系統(tǒng)下載超過2.2萬億的開源軟件包。

攻擊增加650%。2021年，針對上游開源生態(tài)系統(tǒng)弱點的軟件供應(yīng)鏈攻擊呈指數(shù)級增長。

生產(chǎn)應(yīng)用程序只利用了6%的可用項目。盡管有大量的開源項目可用，但使用率卻集中在少數(shù)受歡迎的項目中。

熱門項目更容易受到攻擊。29%的流行項目版本包含至少一個已知的安全漏洞。相反，只有6.5%的非流行項目版本這樣做，這表明安全研究人員關(guān)注的是最常用的項目。

確定最佳開源項目的經(jīng)驗指標

具有更快平均更新時間(MTTU)的項目更安全。研究發(fā)現(xiàn)，他們出現(xiàn)漏洞的可能性要低1.8倍。

受歡迎程度并不能很好地預(yù)示安全性。流行的開源項目存在漏洞的可能性是普通項目的2.8倍。

開發(fā)團隊之間的依賴管理實踐差異很大

軟件開發(fā)人員在更新第三方依賴時，69%的情況下會做出次優(yōu)選擇。新版本的項目通常更好，但并不總是最好的。這在無形中忽視了版本中關(guān)于漏洞補丁的問題。

商業(yè)工程團隊只管理他們使用的 25% 的組件，使得他們的大部分開源依賴項過時并且容易受到安全風險的影響。

自動化每年可為組織節(jié)省 192,000 美元。如果配備了智能自動化，一個擁有20個應(yīng)用程序開發(fā)團隊的中型企業(yè)每年將節(jié)省160天開發(fā)時間。

軟件供應(yīng)鏈管理實踐：認知與現(xiàn)實

主觀調(diào)查反饋和客觀數(shù)據(jù)之間存在脫節(jié)。人們相信他們在修復有缺陷的組件方面做得很好，并表示他們了解風險所在。客觀上，研究表明開發(fā)團隊缺乏結(jié)構(gòu)化的指導，并且經(jīng)常在軟件供應(yīng)鏈管理方面做出次優(yōu)決策。

“今年的軟件供應(yīng)鏈狀況報告再次表明，開源如何既是數(shù)字創(chuàng)新的關(guān)鍵燃料，又是軟件供應(yīng)鏈攻擊的成熟目標，” Sonatype執(zhí)行副總裁Matt Howard表示。

“雖然開發(fā)人員對開源的需求繼續(xù)呈指數(shù)級增長，但我們的研究首次表明，實際使用的總體供應(yīng)量很少。

此外，我們現(xiàn)在知道流行的項目包含更多漏洞。這一嚴峻的現(xiàn)實凸顯了工程領(lǐng)導者采用智能自動化的關(guān)鍵責任和機會，這樣他們就可以對最好的開源供應(yīng)商進行標準化，同時幫助開發(fā)人員保持第三方庫的更新和最新的最佳版本。”

同時，面對開源存在更多安全漏洞的事實，開發(fā)團隊應(yīng)警惕潛在軟件供應(yīng)鏈安全風險。在開發(fā)前期將安全考慮進來。通常我們認為有人看過代碼，他們分析了代碼就安全了。但實際上可能不是這樣。

據(jù)Synopsis稱，目前84%的代碼庫至少存在一個安全漏洞。由于開源軟件依賴于第三方代碼鏈，安全團隊通常很難獲得依賴性供應(yīng)鏈的全部可見性，而在那些不易察覺的地方的任何漏洞都可能導致整個網(wǎng)絡(luò)受到破壞。建議企業(yè)在軟件開發(fā)過程中或進行DevsecOps建設(shè)時，有必要進行一定的靜態(tài)代碼安全檢測及開源代碼安全測試，以確保沒有在無意間將安全漏洞引入軟件，提高軟件安全性降低遭到網(wǎng)絡(luò)攻擊的風險。中科天齊Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護航!

參讀鏈接：

https://www.woocoom.com/b021.html?id=f152f97de0eb4b3daea6c43f10d20fb4

https://www.helpnetsecurity.com/2021/09/17/open-source-cyberattacks/