根据Sonatype的一份最新报告，开源生态系统中的恶意软件包数量在过去一年中大幅增加。数据显示，与去年相比，恶意包的上传量增加了150%以上。开源软件以透明的开发模式为基础，几乎任何人都可以为代码贡献力量，这让它成为现代数字技术的核心。然而，这一开放性也带来了巨大的安全隐患。

Sonatype专注于开源供应链安全。他们对700万个开源项目进行分析，发现其中超过50万个包含恶意软件包。近年来，随着一系列高调漏洞和网络攻击的曝光，开源软件中的漏洞问题成为焦点。今年早些时候，XZ Utils数据压缩工具的维护者就成为黑客攻击的目标，黑客试图在全球Linux服务器中植入漏洞。

Sonatype的联合创始人兼首席技术官Brian Fox指出，像XZ Utils这样的攻击表明，过去十年里恶意黑客在开源领域取得了巨大进展。他认为，问题的根源在于开源软件的发布者和使用者。

报告显示，开发者和发布者越来越追求快速发布新功能和版本，忽视了安全性。虽然项目的发布速度有所提升，但修复依赖项中的漏洞所需的时间却越来越长。即便有了修复方案，实际修补和缓解漏洞的时间也在延长。例如，Log4Shell这个重大漏洞仍在被下载，研究人员发现13%的Log4J下载包含易受攻击的版本。

过去，修复严重漏洞大约需要200到250天，现在可能长达500天。中低级别的漏洞修复时间增加更为显著，有时超过800天。不到五年前，这类漏洞的修复时间很少超过400天。

报告指出，软件供应链正在面临一个关键点，发布者的资源已经难以跟上日益增多的漏洞数量。此外，不同编程语言的开源生态系统也带来了独特的防御挑战。例如，JavaScript的Node.js包管理器在过去几年中恶意包和加密货币相关的垃圾包急剧增加。

本文译自 CyberScoop，由 BALI 编辑发布。

微信扫一扫：分享

微信里点“发现”，扫一下

二维码便可将本文分享至朋友圈。

PREV : 今日好价 1012
NEXT : 瘫痪男子借外骨骼行走十年，如今面临售后难题