2020年开源软件供应链下一代网络攻击大规模激增430%
sonatype 发布了《2020 年软件供应链状况》报告指出,旨在积极渗透开源软件供应链的下一代网络攻击大规模激增 430%。
这是 sonatype 发布的第六份年度软件供应链状况报告,此报告分析了超过 1.5 万亿个开源下载请求,24,000 个开源项目和 5,600 个企业开发团队。报告指出,在过去的 12 个月中,其共记录了 929 次下一代软件供应链攻击。相比之下,2015 年 2 月至 2019 年 6 月之间记录的此类攻击则只有 216 起。
对此,sonatype 首席执行官 wayne jackson 表示,“ 在 2017 年臭名昭著的 equifax 违规事件发生之后,企业大幅地增加了投资,以防止对开源软件供应链的类似攻击。我们的研究表明,商业工程团队应对新的零日漏洞的能力正在提高。因此,当对手将活动转移到“上游”时,下一代供应链攻击增加了 430% 也就不足为奇了,因为攻击者可以感染单个开源组件,该组件有可能被“下游”分发,并被战略性地、秘密地利用。”
研究发现,企业软件开发团队对开源软件组件中漏洞的响应时间也有所不同。其中,有 51% 的组织需要一周以上的时间来补救新的零日漏洞。此外,报告还指出,高性能的开发团队在检测和修复开放源代码漏洞方面的速度提高了 26 倍,并且部署代码变更的频率也比同行高 15 倍。同时,他们使用自动化软件组成分析(sca)的可能性要高出 59%,且成功更新依赖关系和修复漏洞而不出现破绽的可能性也要高出近 5 倍。报告中的一些其他发现包括有:
到 2020 年,所有主要开源生态系统的组件下载请求预计将达到 1.5 万亿
开发人员下载的 java oss 组件中有 10% 存在已知的安全漏洞
开发人员构建到其应用程序中的开源组件中,有 11% 存在已知的漏洞,平均发现 38 个漏洞
40% 的 npm 软件包包含有已知漏洞的依赖项
在公开披露后的三天内,新的开源零日漏洞就已被利用
。..。..
完整报告地址:https://www.sonatype.com/2020ssc
关于讯飞智能硬件解决方案发布会的分析和介绍
柴油发电机中性点接地电阻柜的特点介绍
鹏鼎控股6月合并营业17.06亿元!
c语言中怎么使用HTTP代理
MEMS光开关简介
2020年开源软件供应链下一代网络攻击大规模激增430%
用于模拟深度学习应用的质子可编程设备
航天GPS接收机的低噪声放大器设计
波音737MAX8飞机将会成为飞狮航空的主要机型
升压型恒压芯片IC方案 低静态电流 高效率98%小封装小体积H6922
车载DC/DC变换器的指标有哪些
边缘计算的应用场景介绍(边缘计算在哪些领域能得到应用)
Salesforce AppExchange推出了语音数据控制器
区块链可能不是解决工业物联网安全的最好选择
多通道振弦数据记录仪应用桥梁安全监测的解决方案
5G物联网时代来临,移为通信有望继续保持优势身位
LCD投影到了去伪存真时刻,微果Y1重塑新生代投影标杆
工业交换机的工作原理 工业交换机的主要功能
魏少军:《半导体产业在5G时代大有作为》的演讲
DRAM存储器面临的商业及四大技术问题
这是 sonatype 发布的第六份年度软件供应链状况报告,此报告分析了超过 1.5 万亿个开源下载请求,24,000 个开源项目和 5,600 个企业开发团队。报告指出,在过去的 12 个月中,其共记录了 929 次下一代软件供应链攻击。相比之下,2015 年 2 月至 2019 年 6 月之间记录的此类攻击则只有 216 起。
对此,sonatype 首席执行官 wayne jackson 表示,“ 在 2017 年臭名昭著的 equifax 违规事件发生之后,企业大幅地增加了投资,以防止对开源软件供应链的类似攻击。我们的研究表明,商业工程团队应对新的零日漏洞的能力正在提高。因此,当对手将活动转移到“上游”时,下一代供应链攻击增加了 430% 也就不足为奇了,因为攻击者可以感染单个开源组件,该组件有可能被“下游”分发,并被战略性地、秘密地利用。”
研究发现,企业软件开发团队对开源软件组件中漏洞的响应时间也有所不同。其中,有 51% 的组织需要一周以上的时间来补救新的零日漏洞。此外,报告还指出,高性能的开发团队在检测和修复开放源代码漏洞方面的速度提高了 26 倍,并且部署代码变更的频率也比同行高 15 倍。同时,他们使用自动化软件组成分析(sca)的可能性要高出 59%,且成功更新依赖关系和修复漏洞而不出现破绽的可能性也要高出近 5 倍。报告中的一些其他发现包括有:
到 2020 年,所有主要开源生态系统的组件下载请求预计将达到 1.5 万亿
开发人员下载的 java oss 组件中有 10% 存在已知的安全漏洞
开发人员构建到其应用程序中的开源组件中,有 11% 存在已知的漏洞,平均发现 38 个漏洞
40% 的 npm 软件包包含有已知漏洞的依赖项
在公开披露后的三天内,新的开源零日漏洞就已被利用
。..。..
完整报告地址:https://www.sonatype.com/2020ssc
关于讯飞智能硬件解决方案发布会的分析和介绍
柴油发电机中性点接地电阻柜的特点介绍
鹏鼎控股6月合并营业17.06亿元!
c语言中怎么使用HTTP代理
MEMS光开关简介
2020年开源软件供应链下一代网络攻击大规模激增430%
用于模拟深度学习应用的质子可编程设备
航天GPS接收机的低噪声放大器设计
波音737MAX8飞机将会成为飞狮航空的主要机型
升压型恒压芯片IC方案 低静态电流 高效率98%小封装小体积H6922
车载DC/DC变换器的指标有哪些
边缘计算的应用场景介绍(边缘计算在哪些领域能得到应用)
Salesforce AppExchange推出了语音数据控制器
区块链可能不是解决工业物联网安全的最好选择
多通道振弦数据记录仪应用桥梁安全监测的解决方案
5G物联网时代来临,移为通信有望继续保持优势身位
LCD投影到了去伪存真时刻,微果Y1重塑新生代投影标杆
工业交换机的工作原理 工业交换机的主要功能
魏少军:《半导体产业在5G时代大有作为》的演讲
DRAM存储器面临的商业及四大技术问题