統計：全球軟件供應鏈攻擊在一年內激增 650%

供應鏈管理專家從公開和專有數據中編制了其 2021 年軟件供應鏈狀況報告。

它聲稱，全球開發商將從第三方生態系統中借入超過2.2萬億美元的開源套餐或組件，以加快上市時間。這包括從馬文中央存儲庫下載的 Java、 從 PyPi 下載的 Python 包、從 npmjs 下載的 JavaScript 和. NET NuGet 包。

這些共享代碼包通常包含公開披露的漏洞，威脅行為者可以利用這些漏洞。然而，索納類型警告說，越來越多的網絡罪犯越來越積極主動。

"下一代軟件供應鏈攻擊更加險惡，因為不良行為者不再等待公開的漏洞披露來尋求利用。相反，他們正在采取主動，向為全球供應鏈提供食物的開源項目注入新的漏洞，然后在發現這些漏洞之前利用這些漏洞，"報告指出。

通過轉移攻擊"上游"，不良行為者可以獲得杠桿作用，以及使惡意軟件在整個供應鏈中傳播的時間的關鍵好處，從而對"下游"用戶進行更可擴展的攻擊。

索納蒂普說，此類襲擊同比增加了驚人的650%，而去年這一數字為430%。

2015 年 2 月至 2019 年 6 月的四年中，共發現 216 起此類攻擊。然而，這一數字在短短一年內（2019年7月至2020年5月）上升到929人。在過去的一年里，這個數字猛增到驚人的12，000人。

"我們現在知道，受歡迎的項目包含不成比例的更多的漏洞，"索納類型EVP，馬特霍華德認為。

這一嚴峻的現實凸顯了工程領導者接受智能自動化的關鍵責任和機遇，以便他們能夠標準化最佳開源供應商，同時幫助開發人員保持第三方圖書館的新鮮和最新，并提供最佳版本。

主要的網絡威脅活動，包括對SolarWinds和Codecov的攻擊，凸顯了代碼供應鏈妥協的潛在嚴重后果。