今年供應鏈攻擊增加了600%以上

根據軟體供應鏈管理公司Sonatype的一份新報告，涉及惡意第三方元件的供應鏈攻擊記錄數量在過去一年增加了633%，目前已知的案例超過8.8萬起。與此同時，軟體元件從它們自己的依賴繼承而來的傳遞性漏洞例項也達到了前所未有的水平，並困擾著三分之二的開源庫。

在釋出的《軟體供應鏈狀況》報告中表示:“依賴關係的網路化性質突出了對這些複雜供應鏈的可見性和意識的重要性。”“這些依賴會影響我們的軟體，因此瞭解它們的來源對漏洞響應至關重要。許多組織沒有所需的可見性，因此在2022年夏天之後仍在繼續使用Log4Shell的事件響應程式。

Log4Shell是2021年11月在Log4j中發現的一個關鍵漏洞。Log4j是一個廣泛流行的開源Java庫，用於記錄日誌，並被應用在數百萬企業應用程式和軟體產品中，通常作為間接依賴項。根據Sonatype的監測，截至2022年8月，固定版本Log4j的採用率約為65%。此外，這甚至沒有考慮到一個事實，即Log4Shell漏洞起源於一個名為JndiManager的Java類，它是Log4j-core的一部分，但也被783個其他專案借用，現在在超過19,000多個軟體元件中發現。

Log4Shell突出了開源軟體生態系統中存在的固有風險，這是現代軟體開發的核心以及正確管理這些風險的必要性。同時這使得私人組織、軟體儲存庫管理人員、Linux基金會和政府機構發起幾項保護軟體供應鏈的倡議。然而，在開源供應鏈管理方面，大多陣列織還遠遠沒有達到他們需要達到的水平。

開源消費持續增長

從頂級元件儲存庫——Maven Central (Java)、npm (JavaScript)、PyPi (Python)和NuGet (. net)——下載的包的平均年增長率為33%。這低於前幾年，例如2021年73%的增長，但所有儲存庫的元件下載數量已經超過2021年的數字，總計超過3萬億。僅npm知識庫今年提供的下載量就超過2021 年所有四個儲存庫的下載量。

開源消費率的下降並不一定是由於使用者實施了更嚴格的開源採購和管理政策，而是考慮到這些不同程式語言的生態系統已經達到的規模以及它們新增新專案和釋出的速度，這是正常的。

Sonatype總結道:“儘管增長速度正在放緩，但增長的絕對規模仍在前一年的基礎上繼續複合。”“開源應用的步伐在短時間內沒有任何放緩的跡象。”

供應鏈攻擊型別已經多樣化

截至去年年底，Sonatype追蹤了大約1.2萬起已知的惡意供應鏈攻擊事件，但現在這一數字已超過8.8萬起，同比增長633%。該公司還發現了97334個以各種方式分發的惡意包。

惡意包增長的主要原因之一是一種名為依賴混淆的攻擊技術，該技術於2021年2月由安全研究人員公開披露，自那以來得到了廣泛採用。該技術利用大多數包管理客戶端的行為，配置為在公共社群儲存庫和內部儲存庫中搜尋包。

另一種眾所周知的大規模攻擊是typosquatting和brandjacking。typosquatting指的是攻擊者註冊惡意包，其名稱與一些流行和廣泛使用的包的名稱相似。這是一種被動攻擊，依賴於開發人員在構建指令碼或命令中輸入包名時犯的打字錯誤。

Brandjacking是類似的，但針對的是其他包維護者，希望他們在自己的元件中包含一個被劫持的或拼寫錯誤的包作為依賴項。當合法包的維護者將所有權轉讓給其他人時，或者當他們停止開發該包並刪除它，舊的名稱變為可用時，也會發生這種情況。

惡意程式碼注入是另一種更具針對性的技術，涉及攻擊者破壞開發人員的系統或程式碼儲存庫，並在他們不知情的情況下將惡意程式碼注入其包中。當包維護者授予多方提交對其程式碼儲存庫的訪問許可權，而這些參與方有惡意意圖或受到損害時，也會發生這種情況。

公司對其開源實踐過於自信

Sonatype對662名企業工程專業人員進行了一項調查，並詢問了40個關於他們使用開源元件、依賴管理、治理、審批流程和工具的問題。大多數反饋都表明供應鏈管理水平低於產生高質量結果的要求。

得分最高的是修復和應用程式清單類別。例如，68%的受訪者表示，他們確信他們的應用程式沒有使用已知的易受攻擊的庫，84%的受訪者表示他們仔細檢查了他們使用的開源元件的安全歷史記錄。然而，Sonatype對隨機選擇的55000個企業應用程式的掃描顯示，其中68%的應用程式存在已知的漏洞。

在發生了一系列備受矚目的安全漏洞之後，與去年這個時候相比，今天組織更多地關注對軟體供應鏈的保護。幾種度量標準可以用來判斷開源專案的安全實踐：如組織是否確保他們正在修復其最關鍵應用程式中的漏洞;是否同時實施 DevSecOps 最佳實踐，使用 靜態程式碼分析工具，避免危險的編碼實踐，在合併新程式碼前執行程式碼檢查，宣告並固定依賴關係等。這將確保儘可能少的漏洞進入下一代應用程式。

瞭解更多可參考：