开源存储库攻击在三年内飙升700%

Sonatype报告显示,针对上游开源代码存储库的恶意活动在过去三年中增长了700%。去年发现了超过5.5万个新的恶意软件包,三年内总数接近9.5万。随着开源软件的广泛使用,加强安全措施变得至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

根据Sonatype的数据,在过去三年中,针对上游开源代码存储库的恶意活动数量达到了三位数的增长。

这家安全供应商在新发布的数据中声称,检测到旨在将恶意软件植入软件组件的攻击增加了700%,当这些组件被下游DevOps团队使用时,可能会造成严重破坏。

过去一年,Sonatype在各种开源存储库中发现了超过 5.5万个新发布的恶意软件包,在过去三年中发现了近9.5万个。

Sonatype 的联合创始人兼首席技术官 Brian Fox 说:“几乎所有现代企业都依赖开源。显然,使用开源存储库作为恶意攻击的入口点并没有放缓的迹象。这使得早期检测已知和未知的安全漏洞比以往任何时候都更加重要。”

在恶意组件出现之前阻止它们是风险预防的基本要素,并且应该成为围绕保护软件供应链的每一次对话的一部分。

Sonatype表示,防止这种情况是唯一的方法,因为如果将恶意组件下载到开发人员机器上,即使它没有用于成品,损害也可能已经造成了。

供应商补充说:“挑战的规模对于手动威胁防御来说也太大了。”

事实上,根据Sonatype的 2021 年软件供应链状况报告,估计全球开发人员去年从第三方生态系统借用了超过 2.2 万亿个开源软件包或组件,以加快上市时间。

这个故事与Linux基金会今年早些时候的一份报告不谋而合,报告称超过五分之二(41%)的组织对他们的开源安全性没有信心,只有一半(49%)的组织声称他们甚至有一个涵盖开源使用的政策。

它还显示,平均应用程序开发项目包含49个漏洞,跨越80个直接依赖项,而40%的错误存在于更难找到的间接依赖项中。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值