攻击激增归咎于“可避免”的错误
研究人员警告说,针对的网络攻击同比增长633%开源软件存储库。
在软件开发生命周期的多个阶段,组织依靠开源组件,框架,库和整个平台。这些组件提供了用于通信,软件功能,安全性和用户交互的Lynchpins,并且随着社区的开发和审查,开源促进了软件领域的创新。
但是,硬币的另一侧是开源贡献者是志愿者。因此,安全问题有时会滑入网络。此外,IT团队可能不知道使用了哪些开源软件,因此他们可能很容易错过影响其业务的补丁警报和升级。
新研究表明网络攻击者- 非常了解组织对开源软件的依赖 - 正在增加他们每年妥协存储库的尝试。
根据Sonatype的第8软件供应链的年度状态报告,对开源存储库的已知攻击同比增长633%,自2019年以来,每年的总体增长742%。
在分析了公共和专有资源的数据之后,该软件供应链安全公司表示,开源软件的受欢迎程度和增长继续攀升。四个主要的生态系统 -爪哇,,,,JavaScript,Python和.NET - 与开源开发有关,将在不久的将来超过三亿下载。
但是,这种受欢迎程度具有安全后果。
技术债务
研究人员说:“流过软件供应链的第三方代码的数量大规模发生。”“然而,随着时间的推移,已发布的代码累积了技术债务,从而产生了复杂的安全漏洞的潜力,即使没有保持最新状态。”
根据研究人员的说法,例如,每月下载了12亿Java依赖性,而新的,修补或改进的版本将被忽略。
Sonatype说,这是“非最佳消费行为作为开源风险的根源”的一个典型例子。
报告补充说:“这与公众讨论相反,公共讨论通常将安全风险与开源维护者联系起来。”
冒险生意
冒险行为不一定是任何人的错。负责管理依赖关系的开发人员的角色比以往任何时候都更加复杂,而平均Java应用程序包含148个依赖项(超过2021的平均水平),并且每年平均进行十项更新。
每个依赖性可能包含漏洞,因此开发人员必须每年每年跟踪数千个变化。因此,将犯错。
Sonatype的联合创始人兼首席技术官Brian Fox表示:“开发人员必须在日常开发过程中解释的依赖智能的压倒性潮流与优先级的软件质量相矛盾”。
因此,至关重要的是,了解对过时,脆弱的开源软件的潜在风险的教育至关重要,并且团队应考虑采用自动化来减轻负载。
福克斯补充说:“醒目的现实表明,组织需要对软件供应管理的优先级排序,以便他们更好地应对安全风险,提高开发人员的效率并实现更快的创新。”
