根据Sonatype的一份最新报告,开源生态系统中的恶意软件包数量在过去一年中大幅增加。数据显示,与去年相比,恶意包的上传量增加了150%以上。开源软件以透明的开发模式为基础,几乎任何人都可以为代码贡献力量,这让它成为现代数字技术的核心。然而,这一开放性也带来了巨大的安全隐患。

Sonatype专注于开源供应链安全。他们对700万个开源项目进行分析,发现其中超过50万个包含恶意软件包。近年来,随着一系列高调漏洞和网络攻击的曝光,开源软件中的漏洞问题成为焦点。今年早些时候,XZ Utils数据压缩工具的维护者就成为黑客攻击的目标,黑客试图在全球Linux服务器中植入漏洞。

Sonatype的联合创始人兼首席技术官Brian Fox指出,像XZ Utils这样的攻击表明,过去十年里恶意黑客在开源领域取得了巨大进展。他认为,问题的根源在于开源软件的发布者和使用者。

报告显示,开发者和发布者越来越追求快速发布新功能和版本,忽视了安全性。虽然项目的发布速度有所提升,但修复依赖项中的漏洞所需的时间却越来越长。即便有了修复方案,实际修补和缓解漏洞的时间也在延长。例如,Log4Shell这个重大漏洞仍在被下载,研究人员发现13%的Log4J下载包含易受攻击的版本。

过去,修复严重漏洞大约需要200到250天,现在可能长达500天。中低级别的漏洞修复时间增加更为显著,有时超过800天。不到五年前,这类漏洞的修复时间很少超过400天。

报告指出,软件供应链正在面临一个关键点,发布者的资源已经难以跟上日益增多的漏洞数量。此外,不同编程语言的开源生态系统也带来了独特的防御挑战。例如,JavaScript的Node.js包管理器在过去几年中恶意包和加密货币相关的垃圾包急剧增加。

本文译自 CyberScoop,由 BALI 编辑发布。

[ 广告 ]
赞一个 (2)

PREV :
NEXT :

celk 2024年10月13日 10:56 / 广东省广州市1楼
可以这样:只要能用、安全,就冻结依赖版本,不要更新[doge]
#12603198 / 举报 / OO [13] / XX [0]
蛋友3adcc1c6d90 2024年10月14日 22:34 / 海南省海口市2楼
@celk 很多出问题的包就是旧版本的。我经历过的一件奇葩的事是只有fastjson能兼容处理json数组误传对象的场景,jackson和gson都会报错。所以只能一直用fastjson。
#12607384 / 举报 / OO [0] / XX [0]
celk 2024年10月15日 17:11 / 广东省广州市3楼
@蛋友3adcc1c6d90 听起来,你说的这种情况的旧包,就不能叫“能用且安全”了,要么是它有问题只不过以前没发现,要么是它原本就能力有限处理不了一些边界情况(以前的代码调用它处理简单的任务没涉及复杂情况,后来写新的代码想继续用它来做复杂的项目才暴露出它不能满足需求)
#12609748 / 举报 / OO [0] / XX [0]