報告：下一代開源網路攻擊將增長 430％

原文來源：開源中國

Sonatype 發布了《2020 年軟體供應鏈狀況》報告指出，旨在積極滲透開源軟體供應鏈的下一代網路攻擊大規模激增 430%。

這是 Sonatype 發布的第六份年度軟體供應鏈狀況報告，此報告分析了超過 1.5 萬億個開源下載請求，24,000 個開源項目和 5,600 個企業開發團隊。報告指出，在過去的 12 個月中，其共記錄了 929 次下一代軟體供應鏈攻擊。相比之下，2015 年 2 月至 2019 年 6 月之間記錄的此類攻擊則只有 216 起。

對此，Sonatype 首席執行官 Wayne Jackson 表示，「 在 2017 年臭名昭著的 Equifax 違規事件發生之後，企業大幅地增加了投資，以防止對開源軟體供應鏈的類似攻擊。我們的研究表明，商業工程團隊應對新的零日漏洞的能力正在提高。因此，當對手將活動轉移到「上游」時，下一代供應鏈攻擊增加了 430% 也就不足為奇了，因為攻擊者可以感染單個開源組件，該組件有可能被「下游」分發，並被戰略性地、秘密地利用。」

研究發現，企業軟體開發團隊對開源軟體組件中漏洞的響應時間也有所不同。其中，有 51% 的組織需要一周以上的時間來補救新的零日漏洞。此外，報告還指出，高性能的開發團隊在檢測和修復開放源代碼漏洞方面的速度提高了 26 倍，並且部署代碼變更的頻率也比同行高 15 倍。同時，他們使用自動化軟體組成分析（SCA）的可能性要高出 59%，且成功更新依賴關係和修復漏洞而不出現破綻的可能性也要高出近 5 倍。

報告中的一些其他發現包括有：

▪️ 到 2020 年，所有主要開源生態系統的組件下載請求預計將達到 1.5 萬億

▪️ 開發人員下載的 Java OSS 組件中有 10% 存在已知的安全漏洞

▪️ 開發人員構建到其應用程序中的開源組件中，有 11% 存在已知的漏洞，平均發現 38 個漏洞

▪️ 40% 的 npm 軟體包包含有已知漏洞的依賴項

▪️ 在公開披露後的三天內，新的開源零日漏洞就已被利用

完整報告地址：https://www.sonatype.com/2020ssc

律動 BlockBeats 提醒，根據銀保監會等五部門於 2018 年 8 月發布《關於防範以「虛擬貨幣」「區塊鏈」名義進行非法集資的風險提示》的文件，請廣大公眾理性看待區塊鏈，不要盲目相信天花亂墜的承諾，樹立正確的貨幣觀念和投資理念，切實提高風險意識；對發現的違法犯罪線索，可積極向有關部門舉報反映。