kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> 软件供应链攻击在三年内激增742% 应用自动化工具治理风险迫在眉睫

软件供应链攻击在三年内激增742% 应用自动化工具治理风险迫在眉睫

2022-11-10
来源:安全419

  近日,软件管理企业Sonatype发布了《2022 年软件供应链状况报告》,该报告围绕软件供应链持续增长的安全威胁、开源依赖关系管理等方面进行了探讨,旨在指导开发人员在软件供应链方面的安全实践。

  报告指出,2021年底爆发的Log4j事件成为了许多企业组织的分水岭,极大的影响了组织颞部新的开源管理策略的发展。在这一事件的影响下,2022年开发人员对于开源项目的应用有所放缓,下载并集成到软件中的开源组件的数量总体平均增长率已从2021年73%的历史高点大幅放缓至更温和的33%。

  但能够看到的是,在数字经济、云计算和人工智能等新技术、新场景的创新发展下,开源项目的应用仍然在飞速增长,并且没有显示出短期内停止的迹象。同样,开源下载量也在不断加速,这相当于一场潜在威胁的完美风暴,其范围、复杂性和影响都在扩大。

  据报告统计,2022年针对开源存储库的已知攻击同比增长了633%,自2019年以来,平均年增长高达742%。

微信图片_20221110110015.jpg

开源项目的消费者与维护者

  谁才是开源风险加剧的罪魁祸首?

  近两年来,随着开源软件供应链的问题日益受到关注,有关开源风险来源的问题一次次的引起各界讨论。尤其开源项目的发布者和维护者受到了许多质疑,他们经常被贴上不负责任或不愿意更新软件的标签。

  但事实上,根据Maven Central 存储库下载数据显示,开源项目的消费者们似乎才是造成相关风险激增的主要原因。据报告有效统计,2021年 Maven Central存储库的全年下载量超过 1310 亿次。随后,将下载没有固定版本的易受攻击开源组件的使用者与具有固定版本但未选择的易受攻击开源组件进行比较后发现,存在易受攻击版本开源项目中95.5% 都提供了修复版本,但仍然有62%的消费者会去下载易受攻击项目。

微信图片_20221110110017.jpg

  在 Maven 中央存储库中大约有1000万个项目可供下载。根据报告中的数据,这些版本中只有35%(350万)包含已知易受攻击的问题,而在易受攻击的版本中,只有4.2%(147,000个)没有可用的修复程序,这意味着95.8%的易受攻击的下载项目都有可用的安全修复版本。

  据报告测算,全球约有2600万开发人员(消费者),这些消费者中约有1440万正在下载易受攻击的开源组件。在这个群体中,有570万下载了一个没有可用修复的开源组件,这意味着870万消费者有固定的选择,但他们仍然选择了一个易受攻击的版本。

  为什么有870万开源消费者选择了易受攻击的版本,而不是不易受攻击的版本?Sonatype认为原因主要存在于以下三点:

  流行度

  在决定在开发项目中使用哪些开源组件时,流行度通常用作选择的一个重要标准。即默认为:“其他人都在使用它,因此它是安全可靠的”。从理论上讲,这是有道理的,因为更受欢迎的项目应该会更快地得到修复,但事实并非如此,依赖关系的受欢迎程度与更快的安全修复时间并不相关。一个受欢迎的开源项目并不一定意味着它更安全。

  清晰度

  通常,开发人员在构建软件供应链时不会手动选择单个版本,这些开源组件已经是正在使用或构建的项目的一部分。正如《2020年软件供应链状况报告》数据显示,当前80-90%的现代应用程序是由开源软件组成。如果没有实现 SBOM 和适当的 DevSecOps 实践,开发人员和软件工程团队可能无法知道这些易受攻击的组件是否正在使用、提取或构建。

  自动化

  虽然当前市面上有很多开源自动化工具,但其中很少有内置安全功能。与上面的清晰度问题类似,这种自动化可能会掩盖潜在的易受攻击的依赖关系,使开发人员能够在不知不觉中构建具有已知漏洞的项目。

  因此报告认为,如果开发人员们能够树立正确的安全开发习惯,就可以极大的规避开源安全风险。此外,安全业界当前也已经推出了针对许多软件供应链安全管理解决方案,但这些工具并没有得到广泛的应用,这也成为了企业和组织在软件供应链安全风险面前无力应对的重要原因。

  每个开源组件都可能包含漏洞,开发人员必须跟踪每个应用每年可能发生的数千个更改。因此,错误不可避免。对于开发团队来说,至关重要的是要了解过时、易受攻击的开源软件的潜在风险,并考虑采用自动化方法来减轻负担。

应用自动化工具治理软件供应链安全风险迫在眉睫

  安全419注意到,日前悬镜安全发布《2022 DevSecOps行业洞察报告》中也提出,2022下半年,开源软件供应链安全热度将只增不减。悬镜安全认为,作为业务应用程序的重要组成部分,开源软件已成为网络空间的重要基础设施。开源软件的大量使用导致软件 供应链越来越复杂化和多样化,开源软件已成为影响软件供应链安全的关键因素之一。

  随着开源组件使用的增加,风险面也在不断膨胀,使用包含已知安全漏洞的开源组件很有可能将安全缺陷引入到软件产品中,并随着软件的使用而进行扩散,进而对软件供应链造成巨大的安全威胁。

  在针对开源软件供应链风险治理的自动化工具层面,悬镜安全在报告中重点推荐了SCA软件成分分析和SBOM软件物料清单两类产品:

  ● SCA在查找通用和流行的库和组件(尤其是开放源代码)方面最为有效,不仅可以识别第三方组件的开源安全风险和漏洞,还可以提供每个组件的许可和漏洞信息,更先进的工具能够自动化开源选择、批准和跟踪的整个过程,为开发人员节省宝贵的时间并显著提高他们的准确性。

  ● SBOM目前也已经成为了安全业界公认的遏制软件供应链风险的最佳方案之一,SBOM 的推广应用可以增强软件供应链的可见性,极大地便利软件组件溯源、软件产品依赖关系梳理、已知漏洞的影响范围判断、及时发现恶意软件渗透等,从而有力支撑软件供应链相关监管政策规则的落地实施。

  这两类产品也已成为行业在软件供应链安全方面的主流方案,包括悬镜安全、酷德啄木鸟、安全玻璃盒等厂商均已打造了相应的成熟方案,推荐了解。



更多信息可以来这里获取==>>电子技术应用-AET<<

二维码.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
Baidu
map