1. 首页
2. 新闻资讯
3. 安全资讯
4. 报告显示，软件供应链的攻击在三年内猛增742%

报告显示，软件供应链的攻击在三年内猛增742%

发布日期：2022-11-10

Sonatype的第八次年度软件供应链状况报告显示，截至今年为止，专家们已经发现了88000个恶意开源包，比2019年的同一数字增加了三位数，表明企业的攻击面正在快速增长。该报告是根据公共和专有数据分析编制的，包括1310亿次Maven Central下载和成千上万的开源项目。

报告解读

报告详细介绍了企业系统面临的日益增长的风险，这些风险既来自于威胁者插入软件库的恶意软件包，也来自于开发团队不知不觉中下载的意外漏洞。
恶意活动的激增证明了这些团队越来越多地使用开放源代码包来加快上市时间。Sonatype估计，今年的开源请求将超过三万亿。
开放源码消费的巨大规模和软件依赖性带来的额外复杂性可能意味着威胁和漏洞会被开发者遗漏。
报告指出，总体而言，96%的含有已知漏洞的开源Java下载是可以避免的，因为有更好的版本，但由于某种原因没有被使用。不幸的是，许多组织似乎是在错误的安全意识下运作。

如何保护开源软件供应链安全

实际上针对供应链投毒的事件层出不穷。
比如曾在2018年发生的event-stream 投毒事件。这次node-ipc 库中被植入恶意代码就是一个典型的案例。
比如Log4Shell 事件、Linux “脏管道”事件、周下载量超过700万次的 JavaScript 流行库 ua-parser 账户遭接管事件、影响多家大厂的依赖混淆事件、SolarWinds事件、PHP源代码事件等等。

供应链安全风险是各个层面、各个环节、各个维度的。其最大的挑战就在于供应链的复杂性。首先，针对供应链各环节，需要有检测安全风险的能力；第二，供应链安全是动态的，需要持续监测，并配有安全运营机制。

当前，从软件供应链安全的角度来看，国内监管机构已陆续推出相关标准及政策，但针对关键基础设施和重要信息系统相关的企业和单位，并没有制定具体的举措和细则要求。

打好软件供应链安全治理“团体赛”，需要整个开源生态在供应链的各个环节建立一系列的安全准则和最佳实践，切实保障整个网络空间的安全。例如，在代码最终交付之前，采用应用安全的静态、动态分析方案，尽可能避免造成后门或漏洞；例如，部署代码签名证书，保护代码的完整性。通过数字签名验证软件来源可信，确认软件、代码没有被非法篡改或植入病毒，也保护了软件开发者的利益。

上一篇：澳大利亚Optus公司遭网络攻击泄露近千万的居民信息

下一篇：手把手教你安全使用APP

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• 一机场集团疑遭勒索软件攻击，旗下13个机场紧急切换备用系统
• 诺*亚正在调查一起数据泄露事件