开源存储库攻击在三年内飙升700%

Sonatype报告显示,针对上游开源代码存储库的恶意活动在过去三年中增长了700%。去年发现了超过5.5万个新的恶意软件包,三年内总数接近9.5万。随着开源软件的广泛使用,加强安全措施变得至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

根据Sonatype的数据,在过去三年中,针对上游开源代码存储库的恶意活动数量达到了三位数的增长。

这家安全供应商在新发布的数据中声称,检测到旨在将恶意软件植入软件组件的攻击增加了700%,当这些组件被下游DevOps团队使用时,可能会造成严重破坏。

过去一年,Sonatype在各种开源存储库中发现了超过 5.5万个新发布的恶意软件包,在过去三年中发现了近9.5万个。

Sonatype 的联合创始人兼首席技术官 Brian Fox 说:“几乎所有现代企业都依赖开源。显然,使用开源存储库作为恶意攻击的入口点并没有放缓的迹象。这使得早期检测已知和未知的安全漏洞比以往任何时候都更加重要。”

在恶意组件出现之前阻止它们是风险预防的基本要素,并且应该成为围绕保护软件供应链的每一次对话的一部分。

Sonatype表示,防止这种情况是唯一的方法,因为如果将恶意组件下载到开发人员机器上,即使它没有用于成品,损害也可能已经造成了。

供应商补充说:“挑战的规模对于手动威胁防御来说也太大了。”

事实上,根据Sonatype的 2021 年软件供应链状况报告,估计全球开发人员去年从第三方生态系统借用了超过 2.2 万亿个开源软件包或组件,以加快上市时间。

这个故事与Linux基金会今年早些时候的一份报告不谋而合,报告称超过五分之二(41%)的组织对他们的开源安全性没有信心,只有一半(49%)的组织声称他们甚至有一个涵盖开源使用的政策。

它还显示,平均应用程序开发项目包含49个漏洞,跨越80个直接依赖项,而40%的错误存在于更难找到的间接依赖项中。

内容概要:本文档定义了一个名为 `xxx_SCustSuplier_info` 的视图,用于整合和展示客户(Customer)和供应商(Supplier)的相关信息。视图通过连接多个表来获取组织单位、客户账户、站点使用、位置、财务代码组合等数据。对于客户部分,视图选择了与账单相关的记录,并提取了账单客户ID、账单站点ID、客户名称、账户名称、站点代码、状态、付款条款等信息;对于供应商部分,视图选择了有效的供应商及其站点信息,包括供应商ID、供应商名称、供应商编号、状态、付款条款、财务代码组合等。视图还通过外连接确保即使某些字段为空也能显示相关信息。 适合人群:熟悉Oracle ERP系统,尤其是应付账款(AP)和应收账款(AR)模块的数据库管理员或开发人员;需要查询和管理客户及供应商信息的业务分析师。 使用场景及目标:① 数据库管理员可以通过此视图快速查询客户和供应商的基本信息,包括账单信息、财务代码组合等;② 开发人员可以利用此视图进行报表开发或数据迁移;③ 业务分析师可以使用此视图进行数据分析,如信用评估、付款周期分析等。 阅读建议:由于该视图涉及多个表的复杂连接,建议读者先熟悉各个表的结构和关系,特别是 `hz_parties`、`hz_cust_accounts`、`ap_suppliers` 等核心表。此外,注意视图中使用的外连接(如 `gl_code_combinations_kfv` 表的连接),这可能会影响查询结果的完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值