压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日，Sonatype發(fā)布的2020年度軟件供應(yīng)鏈安全狀態(tài)報(bào)告顯示，開源世界的網(wǎng)絡(luò)攻擊急劇增加，大量惡意組件被植入開源庫。

報(bào)告指出，針對(duì)開源社區(qū)的網(wǎng)絡(luò)攻擊暴增了430%， 新的攻擊主動(dòng)為開源生態(tài)系統(tǒng)提供漏洞，而不是像過去那樣利用以前披露的零日漏洞。

在調(diào)查覆蓋的2019年7月至2020年5月的10個(gè)月內(nèi)，記錄了約929起此類攻擊，而2015年2月至2019年6月的四年多期間，此類事件只有216起。

以下是報(bào)告中的一些主要觀點(diǎn)，安全牛整理如下：

滲透開源生態(tài)系統(tǒng)

開源供應(yīng)鏈的攻擊者會(huì)偽裝成普通的軟件開發(fā)人員，將“有用”的組件發(fā)布到上游開源代碼庫中。

然后，這些后門將”下游”流向無數(shù)組織使用的軟件版本中。

與傳統(tǒng)攻擊不同，從開源代碼社區(qū)入手的網(wǎng)絡(luò)攻擊使攻擊者比安全團(tuán)隊(duì)能更快速地編寫和部署漏洞利用代碼，而網(wǎng)絡(luò)罪犯可以在檢測(cè)到威脅之前開始秘密利用易受攻擊的系統(tǒng)，更不用說補(bǔ)救了。

在6月份的一次攻擊中，一個(gè)暗藏NetBeans后門的掃描器（Octopus Scanner）侵入了26個(gè)開源項(xiàng)目的開發(fā)過程。

今年4月，Reversing Labs的安全研究人員發(fā)現(xiàn)，typosquatters在RubyGems代碼庫中安插了一個(gè)表面上合法的惡意組件。

Sonatype首席執(zhí)行官韋恩·杰克遜指出，攻擊者正自己動(dòng)手創(chuàng)造開源漏洞利用機(jī)會(huì)，這并不令人吃驚。

研究表明，商業(yè)工程團(tuán)隊(duì)?wèi)?yīng)對(duì)新的零日漏洞的能力越來越快。

在 DevOps自動(dòng)化專家Sonatype調(diào)查的組織中，大約14%的組織通常會(huì)在發(fā)現(xiàn)安全漏洞后24小時(shí)內(nèi)修復(fù)安全漏洞。另有35%的在發(fā)現(xiàn)后一天到一周內(nèi)修補(bǔ)了缺陷。

然而另一方面，在2008-2018年之間，從漏洞披露到漏洞利用的平均時(shí)間從45天驟降至3天，目前仍然有許多組織動(dòng)作太慢，無法及時(shí)補(bǔ)救。

大約二分之一的受訪者在檢測(cè)到后一周才發(fā)現(xiàn)新的開源漏洞（47%）。17%的被調(diào)查者在1-6個(gè)月之間才能應(yīng)用修補(bǔ)程序，而3%的組織需要更長(zhǎng)時(shí)間。

5月，在SaltStack基礎(chǔ)設(shè)施自動(dòng)化平臺(tái)漏洞被披露數(shù)日后，依然有21家公司受到漏洞利用的影響，明顯說明了這種反應(yīng)遲緩的后果。

開源攻擊面暴漲

根據(jù)當(dāng)前趨勢(shì)，Sonaytpe預(yù)計(jì)在2020年所有主要開源生態(tài)系統(tǒng)中將產(chǎn)生約1.5萬億個(gè)組件下載請(qǐng)求，而2012年為100億。

npm包的數(shù)量目前約為130萬，同比增長(zhǎng)63%，其中40%包含具有已知漏洞的依賴項(xiàng)。

應(yīng)用程序中內(nèi)置的開源組件中約有11%包含已知漏洞，每個(gè)應(yīng)用程序平均發(fā)現(xiàn)38個(gè)已知漏洞。

安全能力和生產(chǎn)力不再“兩分”而是“合一”

企業(yè)安全能力和生產(chǎn)力兩分的方法正在過時(shí)，安全就是生產(chǎn)力，生產(chǎn)力就是安全。Sonatype根據(jù)對(duì)開發(fā)人員在多個(gè)行業(yè)中使用的策略、實(shí)踐和工具進(jìn)行的調(diào)查，將組織按照生產(chǎn)力和風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)分為四個(gè)象限。

在生產(chǎn)力和風(fēng)險(xiǎn)管理兩個(gè)指標(biāo)維度上表現(xiàn)最佳的團(tuán)隊(duì)代碼變更的頻率是組織效率低的15倍，在檢測(cè)和修復(fù)開源漏洞方面比工作效率較低、風(fēng)險(xiǎn)管理效率較低的組織快26倍。