開源社區中的惡意組件激增四倍

近日，Sonatype發布的2020年度軟件供應鏈安全狀態報告顯示，開源世界的網絡攻擊急劇增加，大量惡意組件被植入開源庫。

報告指出，針對開源社區的網絡攻擊暴增了430%， 新的攻擊主動為開源生態系統提供漏洞，而不是像過去那樣利用以前披露的零日漏洞。

在調查覆蓋的2019年7月至2020年5月的10個月內，記錄了約929起此類攻擊，而2015年2月至2019年6月的四年多期間，此類事件只有216起。

以下是報告中的一些主要觀點，整理如下：

滲透開源生態系統

開源供應鏈的攻擊者會偽裝成普通的軟件開發人員，將“有用”的組件發布到上游開源代碼庫中。

然后，這些后門將"下游"流向無數組織使用的軟件版本中。

與傳統攻擊不同，從開源代碼社區入手的網絡攻擊使攻擊者比安全團隊能更快速地編寫和部署漏洞利用代碼，而網絡罪犯可以在檢測到威脅之前開始秘密利用易受攻擊的系統，更不用說補救了。

在6月份的一次攻擊中，一個暗藏NetBeans后門的掃描器（Octopus Scanner）侵入了26個開源項目的開發過程。

今年4月，Reversing Labs的安全研究人員發現，typosquatters在RubyGems代碼庫中安插了一個表面上合法的惡意組件。

Sonatype首席執行官韋恩·杰克遜指出，攻擊者正自己動手創造開源漏洞利用機會，這并不令人吃驚。

研究表明，商業工程團隊應對新的零日漏洞的能力越來越快。

在 DevOps自動化專家Sonatype調查的組織中，大約14%的組織通常會在發現安全漏洞后24小時內修復安全漏洞。另有35%的在發現后一天到一周內修補了缺陷。

然而另一方面，在2008-2018年之間，從漏洞披露到漏洞利用的平均時間從45天驟降至3天，目前仍然有許多組織動作太慢，無法及時補救。

大約二分之一的受訪者在檢測到后一周才發現新的開源漏洞（47%）。17%的被調查者在1-6個月之間才能應用修補程序，而3%的組織需要更長時間。

5月，在SaltStack基礎設施自動化平臺漏洞被披露數日后，依然有21家公司受到漏洞利用的影響，明顯說明了這種反應遲緩的后果。

開源攻擊面暴漲

根據當前趨勢，Sonaytpe預計在2020年所有主要開源生態系統中將產生約1.5萬億個組件下載請求，而2012年為100億。

npm包的數量目前約為130萬，同比增長63%，其中40%包含具有已知漏洞的依賴項。

應用程序中內置的開源組件中約有11%包含已知漏洞，每個應用程序平均發現38個已知漏洞。

安全能力和生產力不再“兩分”而是“合一”

企業安全能力和生產力兩分的方法正在過時，安全就是生產力，生產力就是安全。Sonatype根據對開發人員在多個行業中使用的策略、實踐和工具進行的調查，將組織按照生產力和風險管理標準分為四個象限。

在生產力和風險管理兩個指標維度上表現最佳的團隊代碼變更的頻率是組織效率低的15倍，在檢測和修復開源漏洞方面比工作效率較低、風險管理效率較低的組織快26倍。