统计：全球软件供应链攻击在一年内激增 650%

供应链管理专家从公开和专有数据中编制了其 2021 年软件供应链状况报告。

它声称，全球开发商将从第三方生态系统中借入超过2.2万亿美元的开源套餐或组件，以加快上市时间。这包括从马文中央存储库下载的 Java、 从 PyPi 下载的 Python 包、从 npmjs 下载的 JavaScript 和. NET NuGet 包。

这些共享代码包通常包含公开披露的漏洞，威胁行为者可以利用这些漏洞。然而，索纳类型警告说，越来越多的网络罪犯越来越积极主动。

"下一代软件供应链攻击更加险恶，因为不良行为者不再等待公开的漏洞披露来寻求利用。相反，他们正在采取主动，向为全球供应链提供食物的开源项目注入新的漏洞，然后在发现这些漏洞之前利用这些漏洞，"报告指出。

通过转移攻击"上游"，不良行为者可以获得杠杆作用，以及使恶意软件在整个供应链中传播的时间的关键好处，从而对"下游"用户进行更可扩展的攻击。

索纳蒂普说，此类袭击同比增加了惊人的650%，而去年这一数字为430%。

2015 年 2 月至 2019 年 6 月的四年中，共发现 216 起此类攻击。然而，这一数字在短短一年内（2019年7月至2020年5月）上升到929人。在过去的一年里，这个数字猛增到惊人的12，000人。

"我们现在知道，受欢迎的项目包含不成比例的更多的漏洞，"索纳类型EVP，马特霍华德认为。

这一严峻的现实凸显了工程领导者接受智能自动化的关键责任和机遇，以便他们能够标准化最佳开源供应商，同时帮助开发人员保持第三方图书馆的新鲜和最新，并提供最佳版本。

主要的网络威胁活动，包括对SolarWinds和Codecov的攻击，凸显了代码供应链妥协的潜在严重后果。