开源社区中的恶意组件激增四倍

近日，Sonatype发布的2020年度软件供应链安全状态报告显示，开源世界的网络攻击急剧增加，大量恶意组件被植入开源库。

报告指出，针对开源社区的网络攻击暴增了430%， 新的攻击主动为开源生态系统提供漏洞，而不是像过去那样利用以前披露的零日漏洞。

在调查覆盖的2019年7月至2020年5月的10个月内，记录了约929起此类攻击，而2015年2月至2019年6月的四年多期间，此类事件只有216起。

以下是报告中的一些主要观点，整理如下：

渗透开源生态系统

开源供应链的攻击者会伪装成普通的软件开发人员，将“有用”的组件发布到上游开源代码库中。

然后，这些后门将"下游"流向无数组织使用的软件版本中。

与传统攻击不同，从开源代码社区入手的网络攻击使攻击者比安全团队能更快速地编写和部署漏洞利用代码，而网络罪犯可以在检测到威胁之前开始秘密利用易受攻击的系统，更不用说补救了。

在6月份的一次攻击中，一个暗藏NetBeans后门的扫描器（Octopus Scanner）侵入了26个开源项目的开发过程。

今年4月，Reversing Labs的安全研究人员发现，typosquatters在RubyGems代码库中安插了一个表面上合法的恶意组件。

Sonatype首席执行官韦恩·杰克逊指出，攻击者正自己动手创造开源漏洞利用机会，这并不令人吃惊。

研究表明，商业工程团队应对新的零日漏洞的能力越来越快。

在 DevOps自动化专家Sonatype调查的组织中，大约14%的组织通常会在发现安全漏洞后24小时内修复安全漏洞。另有35%的在发现后一天到一周内修补了缺陷。

然而另一方面，在2008-2018年之间，从漏洞披露到漏洞利用的平均时间从45天骤降至3天，目前仍然有许多组织动作太慢，无法及时补救。

大约二分之一的受访者在检测到后一周才发现新的开源漏洞（47%）。17%的被调查者在1-6个月之间才能应用修补程序，而3%的组织需要更长时间。

5月，在SaltStack基础设施自动化平台漏洞被披露数日后，依然有21家公司受到漏洞利用的影响，明显说明了这种反应迟缓的后果。

开源攻击面暴涨

根据当前趋势，Sonaytpe预计在2020年所有主要开源生态系统中将产生约1.5万亿个组件下载请求，而2012年为100亿。

npm包的数量目前约为130万，同比增长63%，其中40%包含具有已知漏洞的依赖项。

应用程序中内置的开源组件中约有11%包含已知漏洞，每个应用程序平均发现38个已知漏洞。

安全能力和生产力不再“两分”而是“合一”

企业安全能力和生产力两分的方法正在过时，安全就是生产力，生产力就是安全。Sonatype根据对开发人员在多个行业中使用的策略、实践和工具进行的调查，将组织按照生产力和风险管理标准分为四个象限。

在生产力和风险管理两个指标维度上表现最佳的团队代码变更的频率是组织效率低的15倍，在检测和修复开源漏洞方面比工作效率较低、风险管理效率较低的组织快26倍。