根据Sonatype最新发布的《2021年软件供应链状况报告》,全球对开源代码的需求导致软件供应链攻击同比增长650%攻击。报告显示,全球开发者累计从第三方开源生态系统“借用”了超过2.2万亿个开源软件包或组件,以加快上市时间。这包括从MavenCentral存储库下载的Java、从PyPi下载的Python包、从npmjs和.NETNuGet包下载的JavaScript等等。这些共享代码包通常包含可被攻击者利用的公开披露的漏洞。然而,Sonatype警告说,越来越多的网络犯罪分子正变得更加主动。报告指出:下一代软件供应链攻击更加险恶,因为攻击者不再等待公开漏洞披露来实施攻击。相反,他们采取积极主动的方法,将新的漏洞注入到为全球供应链提供动力的开源项目中,然后在它们被发现之前利用它们。通过将攻击转移到“上游”,攻击者获得了影响力和关键的时间优势,使恶意软件能够在整个供应链中传播,从而允许对“下游”用户进行更具可扩展性的攻击。在2015年2月至2019年6月的四年期间,共检测到216起此类攻击。然而,从2019年7月到2020年5月,这一数字在短短一年多的时间里上升到了929个。在过去的一年里,这个数字已经飙升至12,000个。主要的网络威胁活动,包括对SolarWinds和Codecov的攻击,凸显了代码供应链攻击的潜在严重影响。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
