根据Sonatype的数据,在过去三年中,针对上游开源代码存储库的恶意活动数量达到了三位数的增长。
这家安全供应商在新发布的数据中声称,检测到旨在将恶意软件植入软件组件的攻击增加了700%,当这些组件被下游DevOps团队使用时,可能会造成严重破坏。
过去一年,Sonatype在各种开源存储库中发现了超过 5.5万个新发布的恶意软件包,在过去三年中发现了近9.5万个。
Sonatype 的联合创始人兼首席技术官 Brian Fox 说:“几乎所有现代企业都依赖开源。显然,使用开源存储库作为恶意攻击的入口点并没有放缓的迹象。这使得早期检测已知和未知的安全漏洞比以往任何时候都更加重要。”
在恶意组件出现之前阻止它们是风险预防的基本要素,并且应该成为围绕保护软件供应链的每一次对话的一部分。
Sonatype表示,防止这种情况是唯一的方法,因为如果将恶意组件下载到开发人员机器上,即使它没有用于成品,损害也可能已经造成了。
供应商补充说:“挑战的规模对于手动威胁防御来说也太大了。”
事实上,根据Sonatype的 2021 年软件供应链状况报告,估计全球开发人员去年从第三方生态系统借用了超过 2.2 万亿个开源软件包或组件,以加快上市时间。
这个故事与Linux基金会今年早些时候的一份报告不谋而合,报告称超过五分之二(41%)的组织对他们的开源安全性没有信心,只有一半(49%)的组织声称他们甚至有一个涵盖开源使用的政策。
它还显示,平均应用程序开发项目包含49个漏洞,跨越80个直接依赖项,而40%的错误存在于更难找到的间接依赖项中。