亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

近日，Sonatype發(fā)布的2020年度軟件供應鏈安全狀態(tài)報告顯示，開源世界的網(wǎng)絡攻擊急劇增加，大量惡意組件被植入開源庫。

報告指出，針對開源社區(qū)的網(wǎng)絡攻擊暴增了430%， 新的攻擊主動為開源生態(tài)系統(tǒng)提供漏洞，而不是像過去那樣利用以前披露的零日漏洞。

在調(diào)查覆蓋的2019年7月至2020年5月的10個月內(nèi)，記錄了約929起此類攻擊，而2015年2月至2019年6月的四年多期間，此類事件只有216起。

以下是報告中的一些主要觀點，安全牛整理如下：

滲透開源生態(tài)系統(tǒng)

開源供應鏈的攻擊者會偽裝成普通的軟件開發(fā)人員，將“有用”的組件發(fā)布到上游開源代碼庫中。

然后，這些后門將”下游”流向無數(shù)組織使用的軟件版本中。

與傳統(tǒng)攻擊不同，從開源代碼社區(qū)入手的網(wǎng)絡攻擊使攻擊者比安全團隊能更快速地編寫和部署漏洞利用代碼，而網(wǎng)絡罪犯可以在檢測到威脅之前開始秘密利用易受攻擊的系統(tǒng)，更不用說補救了。

在6月份的一次攻擊中，一個暗藏NetBeans后門的掃描器（Octopus Scanner）侵入了26個開源項目的開發(fā)過程。

今年4月，Reversing Labs的安全研究人員發(fā)現(xiàn)，typosquatters在RubyGems代碼庫中安插了一個表面上合法的惡意組件。

Sonatype首席執(zhí)行官韋恩·杰克遜指出，攻擊者正自己動手創(chuàng)造開源漏洞利用機會，這并不令人吃驚。

研究表明，商業(yè)工程團隊應對新的零日漏洞的能力越來越快。

在 DevOps自動化專家Sonatype調(diào)查的組織中，大約14%的組織通常會在發(fā)現(xiàn)安全漏洞后24小時內(nèi)修復安全漏洞。另有35%的在發(fā)現(xiàn)后一天到一周內(nèi)修補了缺陷。

然而另一方面，在2008-2018年之間，從漏洞披露到漏洞利用的平均時間從45天驟降至3天，目前仍然有許多組織動作太慢，無法及時補救。

大約二分之一的受訪者在檢測到后一周才發(fā)現(xiàn)新的開源漏洞（47%）。17%的被調(diào)查者在1-6個月之間才能應用修補程序，而3%的組織需要更長時間。

5月，在SaltStack基礎設施自動化平臺漏洞被披露數(shù)日后，依然有21家公司受到漏洞利用的影響，明顯說明了這種反應遲緩的后果。

開源攻擊面暴漲

根據(jù)當前趨勢，Sonaytpe預計在2020年所有主要開源生態(tài)系統(tǒng)中將產(chǎn)生約1.5萬億個組件下載請求，而2012年為100億。

npm包的數(shù)量目前約為130萬，同比增長63%，其中40%包含具有已知漏洞的依賴項。

應用程序中內(nèi)置的開源組件中約有11%包含已知漏洞，每個應用程序平均發(fā)現(xiàn)38個已知漏洞。

安全能力和生產(chǎn)力不再“兩分”而是“合一”

企業(yè)安全能力和生產(chǎn)力兩分的方法正在過時，安全就是生產(chǎn)力，生產(chǎn)力就是安全。Sonatype根據(jù)對開發(fā)人員在多個行業(yè)中使用的策略、實踐和工具進行的調(diào)查，將組織按照生產(chǎn)力和風險管理標準分為四個象限。

在生產(chǎn)力和風險管理兩個指標維度上表現(xiàn)最佳的團隊代碼變更的頻率是組織效率低的15倍，在檢測和修復開源漏洞方面比工作效率較低、風險管理效率較低的組織快26倍。