报告：下一代开源网络攻击将增加430%

来源：开源中国

Sonatype发布了《2020年软件供应链现状》报告，指出旨在主动渗透开源软件供应链的下一代网络攻击增加了430%。

这是sonatype的第六份年度软件供应链状态报告，分析了超过1.5万亿的开源下载请求、24000个开源项目和5600个企业开发团队。报告显示，在过去12个月里，它记录了929起下一代软件供应链攻击事件。相比之下，在2015年2月至2019年6月期间，只有216起此类袭击被记录在案。

对此，索尼CEO韦恩·杰克逊（Wayne Jackson）表示，“在2017年臭名昭著的Equifax违规事件之后，各公司大幅增加投资，以防止开源软件供应链遭受类似攻击。我们的研究表明，商业工程团队应对新的零日漏洞的能力正在提高。因此，当竞争对手将其活动“上游”时，下一代供应链攻击会增加430%，这并不奇怪，因为攻击者可以感染单个开源组件，这些组件可能分布在“下游”，并战略性地秘密使用

研究发现，企业软件开发团队对开源软件构件中的漏洞的响应时间也不同。其中，51%的机构需要一周以上的时间来弥补新的零日漏洞。此外，报告指出，高性能开发团队在检测和修复开源漏洞方面的速度是其他团队的26倍，部署代码更改的频率是同行的15倍。同时，他们使用自动化软件组合分析（SCA）的可能性要高出59%，成功更新依赖关系和修复漏洞的可能性要高出近5倍。

报告中的其他调查结果包括：

▪️ 到2020年，所有主要开源生态系统的组件下载请求预计将达到1.5万亿

▪️ 开发者下载的JavaOSS组件中有10%存在安全漏洞

▪️ 开发人员在其应用程序中构建的开源组件中有11%已知漏洞，平均为38个

▪️ 40%的NPM包包含已知漏洞的依赖性

▪️ 在公开披露的三天内，新的开源零日漏洞就被利用了

完整报告地址：https://www.sonatype.com/2020ssc

根据blockbeats的通知，银监会等五部门于2018年8月发布了《关于防范以“虚拟货币”和“区块链”名义非法集资的风险提示》文件。文件要求广大市民理性对待区块链，不要盲目相信铺张浪费的承诺，树立正确的货币观和投资观，切实提高风险意识。发现违法犯罪线索，可以积极向有关部门举报。