据Sonatype的最新发现可知,随着开源软件(OSS)消费情况的飙升,开源恶意软件包增长近156%。
该公司的第10份年度软件供应链状况报告指出:自2019年以来,已发现超过704,102个恶意软件包,其中的512,847个是2023年11月以来被发现的。
参考Sonatype的数据,今年是开源软件消费创纪录的一年,估计下载量达到6.6万亿次。
2024年,JavaScript(npm)的请求量达到了惊人的4.5万亿,同比增长了70%。
根据Sonatype的调查结果,在人工智能和云采用的推动下,预计到2024年底,Python(PyPI)将达到5300亿个软件包请求,同比增长87%。
Npm是JavaScript编程语言的软件包管理器,PyPI是Python的软件包管理器。
该公司表示,组织仍在努力有效地降低风险,尽管Sonatype的研究重点是受污染的开源项目的增加,但报告指出,所有开源或商业软件最终都会有演变为漏洞的可能。
尽管超过99%的软件包有可用的更新版本,但80%的应用程序依赖项在一年多内都未升级。
此外,在95%的情况下,当易受攻击的组件被消耗时,固定版本已经存在。
这种风险是持续存在的,在Log4shell暴露三年后,13%的Log4j下载仍然很脆弱。
还有人指出,发布者很难跟上CVE的修复速度,几个漏洞还需要500多天的时间才能修复。
2013年至2023年间,CVE增长了463%。
在报告中,Sonatype呼吁软件制造商、消费者和监管机构采用强有力的安全实践,并表示“创新和安全”之间的平衡,比以往任何时候都更加重要。
Sonatype首席技术官兼联合创始人Brian Fox说:“在过去的十年里,我们看到软件供应链攻击的复杂性和频率增加,特别是随着开源恶意软件的兴起,而出版商和消费者在安全性方面仍然相对停滞不前。为了确保未来十年有一个充满活力和安全的开源生态系统,我们必须建立一个主动的安全基础,对开源恶意软件保持警惕,减少消费者的自满情绪,并进行全面的依赖管理。”
尽管面临挑战,但该公司致力于迎头赶上。
新政策正在出现,包括将于2024年10月17日生效的欧盟网络和信息系统指令(NIS2),以及即将在印度和澳大利亚出台的法规。这些政策鼓励采用软件物料清单(SBOM),去年发布了超过60,000份SBOM。
Sonatype的报告得到了来自700多万个开源项目的数据的支持。
消息来源:Infosecurity-Magazine,译者:XX;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
