报告显示，软件供应链的攻击在三年内猛增 742%

今年到目前为止，专家们已经发现了88000个恶意开源包，比2019年的同一数字增加了三位数，表明企业的攻击面正在快速增长。这些数字来自Sonatype的第八次年度软件供应链状况报告，该报告是根据公共和专有数据分析编制的，包括1310亿次Maven Central下载和成千上万的开源项目。

报告详细介绍了企业系统面临的日益增长的风险，这些风险既来自于威胁者插入软件库的恶意软件包，也来自于开发团队不知不觉中下载的意外漏洞。恶意活动的激增证明了这些团队越来越多地使用开放源代码包来加快上市时间。Sonatype估计，今年的开源请求将超过三万亿。

该供应商认为，开放源码消费的巨大规模和软件依赖性带来的额外复杂性可能意味着威胁和漏洞会被开发者遗漏。目前，平均每个Java应用程序包含148个依赖项，比去年多了20个。据Sonatype估计，由于Java项目平均每年更新10次，开发人员必须为他们的每个应用程序每年跟踪近1500个依赖性变化的情报。

然而，对这些开发环境的可见性似乎是缺乏的：在过去的一年里，每七个影响开源项目的错误中，就有六个是由反式依赖引起的。

报告指出，总体而言，96%的含有已知漏洞的开源Java下载是可以避免的，因为有更好的版本，但由于某种原因没有被使用。不幸的是，许多组织似乎是在错误的安全意识下运作。

该报告显示，68%的调查对象确信他们的应用程序没有使用有漏洞的库。然而，对企业应用程序的随机抽样显示，68%的应用程序包含已知的漏洞。”不成熟的组织希望他们的开发人员在履行正常工作职责的同时，还能保持对许可证合规性的关注、多个项目的发布、依赖性的变化以及开源生态系统的了解。这是除了速度等外部压力之外，”Sonatype首席技术官Brian Fox解释说。

工作满意度与软件供应链实践的成熟度有很大关系。这一令人清醒的现实表明，企业急需优先考虑软件供应管理，以便更好地处理安全风险，提高开发人员的效率，并实现更快的创新。

转自 E安全，原文链接：https://mp.weixin.qq.com/s/l7TTWCLw-CvCU53bHhv4gA

封面来源于网络，如有侵权请联系删除