行業(yè)動態(tài)

開源代碼庫攻擊在三年間暴漲7倍

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2022-09-23    瀏覽次數(shù):
 

信息來源:FreeBuf

920日,安全供應(yīng)商Sonatype發(fā)布報告稱,針對上游開源代碼庫的惡意活動數(shù)量在過去三年中翻了7倍。

根據(jù)Sonatype的研究分析,為了利用上游開放源碼生態(tài)系統(tǒng)的弱點,攻擊者持續(xù)利用開源代碼庫對企業(yè)組織實施攻擊。他們將惡意代碼置入軟件組件,這些組件被分發(fā)到下游,危及眾多被企業(yè)和消費(fèi)者依賴的應(yīng)用程序。

截至本報告發(fā)表時,Sonatype已經(jīng)在過去一年的開源軟件庫中發(fā)現(xiàn)了超過55000個新發(fā)布的惡意軟件包,在過去三年中則發(fā)現(xiàn)了近95000個。

"幾乎每一個現(xiàn)代企業(yè)都依賴開源代碼,我們的研究顯然證明,使用開放源碼庫作為惡意攻擊切入點的行為沒有放緩的跡象,這使得早期檢測已知和未知的安全漏洞比以往任何時候都更加重要,“Sonatype公司的聯(lián)合創(chuàng)始人兼首席技術(shù)官Brian Fox說。在惡意組件滲透進(jìn)來之前實施攔截是預(yù)防風(fēng)險的一個基本要素,應(yīng)該成為保護(hù)軟件供應(yīng)鏈每個階段性步驟的一部分。

Sonatype的這份報告與今年6Linux 基金會發(fā)布的一份報告相吻合,該報告聲稱超過40% 的組織對其開源安全性沒有信心,只有49%的組織聲稱擁有自己相應(yīng)的應(yīng)對策略。

 
 

上一篇:有關(guān)部門:美國網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)背后有這個圖謀!

下一篇:2022年9月23日聚銘安全速遞