资讯专栏INFORMATION COLUMN

开源网络攻击增加了650%,热门项目更容易受到攻击

testbird / 1357人阅读

摘要:热门项目更容易受到攻击。据称,目前的代码库至少存在一个安全漏洞。

Sonatype 发布的一份报告显示,开源供需动态持续强劲增长。此外,关于开源安全风险,该报告显示,针对上游公共存储库的供应链攻击同比增长了 650% ,并且在流行和非流行项目版本中存在的已知漏洞水平方面存在着有趣的二分法。

根据从702名软件工程专业人士收集的调查反馈,研究发现人们对软件链管理实践的主观信念与10万个应用程序的客观结果之间存在根本脱节。

该报告分析了与Java (Maven Central)、JavaScript (npmjs)、Python (PyPI) 和 .Net (nuget) 生态系统相关的运营供应、需求和安全趋势。此外,研究人员研究了在过去12个月里,从开发人员进行的100,000个生产应用程序和4,000,000个组件迁移中收集的软件工程实践。

开源供应、需求和安全动态

供应量增加20%。前四大开源生态系统现在包含37451,682个不同版本的组件。

需求增加73%。到2021年,世界各地的开发者将从前四大生态系统下载超过2.2万亿的开源软件包。

攻击增加650%。2021年,针对上游开源生态系统弱点的软件供应链攻击呈指数级增长。

生产应用程序只利用了6%的可用项目。尽管有大量的开源项目可用,但使用率却集中在少数受欢迎的项目中。

热门项目更容易受到攻击。29%的流行项目版本包含至少一个已知的安全漏洞。相反,只有6.5%的非流行项目版本这样做,这表明安全研究人员关注的是最常用的项目。

开源风险.png

确定最佳开源项目的经验指标

具有更快平均更新时间(MTTU)的项目更安全。研究发现,他们出现漏洞的可能性要低1.8倍。

受欢迎程度并不能很好地预示安全性。流行的开源项目存在漏洞的可能性是普通项目的2.8倍。

开发团队之间的依赖管理实践差异很大

软件开发人员在更新第三方依赖时,69%的情况下会做出次优选择。新版本的项目通常更好,但并不总是最好的。这在无形中忽视了版本中关于漏洞补丁的问题。

商业工程团队只管理他们使用的 25% 的组件,使得他们的大部分开源依赖项过时并且容易受到安全风险的影响。

自动化每年可为组织节省 192,000 美元。如果配备了智能自动化,一个拥有20个应用程序开发团队的中型企业每年将节省160天开发时间。

软件供应链管理实践:认知与现实

主观调查反馈和客观数据之间存在脱节。人们相信他们在修复有缺陷的组件方面做得很好,并表示他们了解风险所在。客观上,研究表明开发团队缺乏结构化的指导,并且经常在软件供应链管理方面做出次优决策。

“今年的软件供应链状况报告再次表明,开源如何既是数字创新的关键燃料,又是软件供应链攻击的成熟目标,” Sonatype执行副总裁Matt Howard表示。

“虽然开发人员对开源的需求继续呈指数级增长,但我们的研究首次表明,实际使用的总体供应量很少。

此外,我们现在知道流行的项目包含更多漏洞。这一严峻的现实凸显了工程领导者采用智能自动化的关键责任和机会,这样他们就可以对最好的开源供应商进行标准化,同时帮助开发人员保持第三方库的更新和最新的最佳版本。”

同时,面对开源存在更多安全漏洞的事实,开发团队应警惕潜在软件供应链安全风险。在开发前期将安全考虑进来。通常我们认为有人看过代码,他们分析了代码就安全了。但实际上可能不是这样。

据Synopsis称,目前84%的代码库至少存在一个安全漏洞。由于开源软件依赖于第三方代码链,安全团队通常很难获得依赖性供应链的全部可见性,而在那些不易察觉的地方的任何漏洞都可能导致整个网络受到破坏。建议企业在软件开发过程中或进行DevsecOps建设时,有必要进行一定的静态代码安全检测及开源代码安全测试,以确保没有在无意间将安全漏洞引入软件,提高软件安全性降低遭到网络攻击的风险。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!

参读链接:

www.woocoom.com/b021.html?i…

www.helpnetsecurity.com/2021/09/17/…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/120834.html

相关文章

  • 2012:云计算的春天

    回顾2012,更多开放,更多协作,更多机会产生。从来没有一项服务会将几乎所有IT、互联网、通信技术整合在一起,没有合作、开放的心态就没有云计算。接下来,将从IaaS、NoSQL与NewSQL、数据中心、大数据、安全这几个方面对过去一年作出总结。IaaS——群雄追赶AWS谈到IaaS,Google和AWS是公认的业界最强。AWS是全球将IaaS这个business运营的较好的公司,除了技术领先,还要...

    Vicky 评论0 收藏0
  • 零日攻击是混合云面临的主要问题

    摘要:结果表明,人们对零日攻击和容器采用率的增加表示担忧。的企业在过去一年中报告了其云环境受到攻击,的企业表示零日攻击是这些攻击的起源。公司的联合创始人兼首席执行官表示,零日攻击将永远是一个真实且不可预知的威胁。根据一项新的调查研究,混合云环境特别容易受到 零日漏洞(zero-day)的攻击。 零日漏洞就是安全漏洞在当天或在24小时内被发现之后立即被恶意利用进行攻击,这种攻击是在厂商缺少防范意识或...

    plus2047 评论0 收藏0
  • Atlassian Confluence网络攻击扩大,Jenkins遭受重创

    摘要:针对该事件,团队将受影响的服务器下线,并对安全事件展开调查。图片根据安全公司和的说法,大多数部署了加密货币矿工的攻击仍在进行中。图片的安全困境月,修补了其平台中的一个严重缺陷,这是一种用于软件开发的专有错误跟踪和敏捷项目管理工具。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:...

    Caicloud 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<