新的研究声称,网络犯罪分子正在利用越来越多的公司依赖开源代码存储库来构建他们的软件解决方案这一事实。
根据软件供应链管理服务提供商 Sonatype 的一份新报告,在过去三年中,此类平台上的被盗包、仿冒域名攻击和类似网络攻击的数量猛增。
通过使用其存储库防火墙,该公司仅在去年就识别了超过 55,000 个新发布的恶意程序包,在过去三年中识别了近 95,000 个。这使其在 36 个月内平均增长了 700%。
自动化分析
“几乎所有现代企业都依赖开源。显然,使用开源存储库作为恶意攻击的入口点并没有放缓的迹象——这使得早期发现已知和未知的安全漏洞比以往任何时候都更加重要,”Sonatype 的联合创始人兼首席技术官 Brian Fox 说.
“在恶意组件出现之前阻止它们是风险预防的基本要素,并且应该成为围绕保护软件供应链的每一次对话的一部分。”
它说,通过结合行为分析和自动策略执行,该公司不断检测和阻止恶意程序包以及潜在的易受攻击的组件。此外,它使用人工智能来评估每个新发布的开源软件组件,以确定是否存在任何威胁。它声称随着开源的突然兴起,手动分析几乎是不可能的。
更重要的是,公司是否在最终产品中使用恶意组件甚至都没有关系。如果它是在他们的端点上下载的(在新标签中打开),现在已经太晚了,该公司表示。
“恶意网络攻击的数量、频率、严重性和复杂性不断增加。组织不能——也不应该——避免使用开源(在新标签中打开)只是为了保护自己,”福克斯补充道。“但他们可以使用诸如 Sonatype 防火墙之类的预防性工具来保持开发人员的正常运行和软件供应链的安全。”