新研究追踪了与恶意组件播种开源生态系统的攻击的四倍
有巨大的激增网络攻击一份新报告显示,其中将恶意组件种植在开源库中。
今天(8月12日)出版,Sonatype的第六次年度软件供应链状态报告记录了这些“下一代”攻击的430%,该攻击积极地播种开源生态系统,而不是利用先前披露的零日缺陷。
在2019年7月至2020年5月的10个月期间,记录了大约929次此类袭击,而2015年2月至2019年6月,在四年多的四年中仅216次。
渗透生态系统
开源供应链攻击者据称是常规的软件开发人员,据称是有用的组件,这些组件包含恶意代码到“上游”开源存储库中。
然后,这些后门“下游”流入了无数组织使用的软件构建中。
与传统攻击不同,袭击者竞争编写和部署利用代码的竞赛比安全团队更快地应用相关补丁,网络犯罪分子在检测到威胁之前,可以开始秘密利用脆弱的系统,更不用说修复了。
每日swbeplay2018官网ig报告在6月的一次此类袭击中,Netbeans后门章鱼扫描仪损害了26个开源项目的构建过程。
在四月,反向实验室的安全研究人员成立Typosquatters用恶意包装播种了一个红宝石存储库,其名称与合法的组成部分非常相似。
Sonatype首席执行官韦恩·杰克逊(Wayne Jackson)说,攻击者正在创造自己的机会来开发开源建造“应该不足为奇”。
他解释说:“在臭名昭著的2017年Equifax违反行为之后,企业大大增加了投资,以防止对开源软件供应链的类似攻击。”
“我们的研究表明,商业工程团队的响应能力越来越快。”
软件供应链攻击允许犯罪分子大规模妥协申请
竞争补救措施
约有14%组织由DevOps自动化专家Sonatype进行的调查,通常在意识到它们后的24小时内进行了修复的安全漏洞。
在发现后一天到一周之间,另外35%的缺陷。
但是,随着脆弱性披露到主动违规的平均时间45天到三在2008年至2018年之间,许多组织仍然太慢了,无法补救。
大约有二分之一的受访者仅在发现后每周才意识到新的开源漏洞(47%)。然后,在1-6个月之间进行调查的人中,有17%的人应用补丁,而3%的组织花了更长的时间。
5月,当21家公司在此期间遭到妥协时,这种缓慢的回应的后果被严格说明在Saltstack基础设施自动化平台上积极滥用缺陷在公开披露的几天内。
气球攻击表面
开源攻击表面正在迅速发展。
根据当前的趋势,Sonaytpe希望在所有主要的开源生态系统中看到约1.5万亿个组件下载请求,高于2012年的100亿。
NPM包的数量目前约为130万,同比增长63%,其中40%的依赖项已知漏洞。
应用程序内置的开源组件中约有11%包含已知漏洞,每个应用程序平均发现了38个已知漏洞。
速度安全权衡神话
基于一项调查,根据开发人员在一系列领域使用的政策,实践和工具,根据其生产率和风险管理标准将Sonatype分组为四个类别。
两种晴雨表中最有效的团队部署代码更改的频率更高15倍,并且在检测和修复开源漏洞方面的速度比其生产力较低,在减轻风险或两者兼而有效的组织中的速度要快26倍。
Galois的首席科学家兼Musedev首席执行官Stephen Magill博士说:“找到如此多的证据表明,安全性和生产力之间的这种列出的权衡确实是一种错误的二分法,这真是令人兴奋。”
“借助正确的文化,工作流程和工具开发团队可以与班级领先的生产力一起实现出色的安全和合规成果。”
Sonatype的发现基于对5,600多个软件开发人员的调查,对24,000个开源项目的评估以及对15,000个开发组织的评估。
