来源:开源中国
Sonatype发布了《2020年软件供应链现状》报告,指出旨在主动渗透开源软件供应链的下一代网络攻击增加了430%。
这是sonatype的第六份年度软件供应链状态报告,分析了超过1.5万亿的开源下载请求、24000个开源项目和5600个企业开发团队。报告显示,在过去12个月里,它记录了929起下一代软件供应链攻击事件。相比之下,在2015年2月至2019年6月期间,只有216起此类袭击被记录在案。
对此,索尼CEO韦恩·杰克逊(Wayne Jackson)表示,“在2017年臭名昭著的Equifax违规事件之后,各公司大幅增加投资,以防止开源软件供应链遭受类似攻击。我们的研究表明,商业工程团队应对新的零日漏洞的能力正在提高。因此,当竞争对手将其活动“上游”时,下一代供应链攻击会增加430%,这并不奇怪,因为攻击者可以感染单个开源组件,这些组件可能分布在“下游”,并战略性地秘密使用
研究发现,企业软件开发团队对开源软件构件中的漏洞的响应时间也不同。其中,51%的机构需要一周以上的时间来弥补新的零日漏洞。此外,报告指出,高性能开发团队在检测和修复开源漏洞方面的速度是其他团队的26倍,部署代码更改的频率是同行的15倍。同时,他们使用自动化软件组合分析(SCA)的可能性要高出59%,成功更新依赖关系和修复漏洞的可能性要高出近5倍。
报告中的其他调查结果包括:
▪️ 到2020年,所有主要开源生态系统的组件下载请求预计将达到1.5万亿
▪️ 开发者下载的JavaOSS组件中有10%存在安全漏洞
▪️ 开发人员在其应用程序中构建的开源组件中有11%已知漏洞,平均为38个
▪️ 40%的NPM包包含已知漏洞的依赖性
▪️ 在公开披露的三天内,新的开源零日漏洞就被利用了
完整报告地址:https://www.sonatype.com/2020ssc
根据blockbeats的通知,银监会等五部门于2018年8月发布了《关于防范以“虚拟货币”和“区块链”名义非法集资的风险提示》文件。文件要求广大市民理性对待区块链,不要盲目相信铺张浪费的承诺,树立正确的货币观和投资观,切实提高风险意识。发现违法犯罪线索,可以积极向有关部门举报。
文章标题:报告:下一代开源网络攻击将增加430%
文章链接:https://www.btchangqing.cn/86932.html
更新时间:2020年08月17日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。