@ 2024.10.13 , 07:00

开源软件中的恶意包数量激增

根据Sonatype的一份最新报告,开源生态系统中的恶意软件包数量在过去一年中大幅增加。数据显示,与去年相比,恶意包的上传量增加了150%以上。开源软件以透明的开发模式为基础,几乎任何人都可以为代码贡献力量,这让它成为现代数字技术的核心。然而,这一开放性也带来了巨大的安全隐患。

Sonatype专注于开源供应链安全。他们对700万个开源项目进行分析,发现其中超过50万个包含恶意软件包。近年来,随着一系列高调漏洞和网络攻击的曝光,开源软件中的漏洞问题成为焦点。今年早些时候,XZ Utils数据压缩工具的维护者就成为黑客攻击的目标,黑客试图在全球Linux服务器中植入漏洞。

Sonatype的联合创始人兼首席技术官Brian Fox指出,像XZ Utils这样的攻击表明,过去十年里恶意黑客在开源领域取得了巨大进展。他认为,问题的根源在于开源软件的发布者和使用者。

报告显示,开发者和发布者越来越追求快速发布新功能和版本,忽视了安全性。虽然项目的发布速度有所提升,但修复依赖项中的漏洞所需的时间却越来越长。即便有了修复方案,实际修补和缓解漏洞的时间也在延长。例如,Log4Shell这个重大漏洞仍在被下载,研究人员发现13%的Log4J下载包含易受攻击的版本。

过去,修复严重漏洞大约需要200到250天,现在可能长达500天。中低级别的漏洞修复时间增加更为显著,有时超过800天。不到五年前,这类漏洞的修复时间很少超过400天。

报告指出,软件供应链正在面临一个关键点,发布者的资源已经难以跟上日益增多的漏洞数量。此外,不同编程语言的开源生态系统也带来了独特的防御挑战。例如,JavaScript的Node.js包管理器在过去几年中恶意包和加密货币相关的垃圾包急剧增加。

本文译自 CyberScoop,由 BALI 编辑发布。

赞一个 (2)