开源软件供应链攻击激增430%，供应链安全不容小觑丨行业报告解读

近日，业内知名机构 Sonatype 在本月18号的 DevOps 企业大会上发布其年度软件供应链现状报告。本文为你总结该报告的关键信息，带你了解今年的软件供应链安全状况。

开源存储库攻击三年内飙升742%

根据报告显示，在过去三年中，针对上游开源代码存储库的恶意活动，旨在将恶意软件植入软件组件的攻击数量增加了742%！如果下游 DevOps 团队使用这些组件时，会给软件供应链造成严重后果。

报告还提到，过去三年里在各种开源存储库中共发现了近95000个新发布的恶意软件包，而在过去的一年里就有55000个。 在开源盛行的时代，现代企业几乎都依赖开源。根据数据可以看出开源存储库作为恶意攻击的入口的数量并没有放缓反而激增，这样说明早期检测已知和未知的安全漏洞比以往任何时候都更加重要，在恶意组件出现之前有效阻止是风险防御的基本要素，也是保护软件供应链安全关键的一步。

根据 Sonatype 的 2021 年软件供应链现状报告，为了加快软件上市时间，在去年全球开发人员去年从第三方生态系统借用了超过 2.2 万亿个开源软件包或组件。据调查，超过41%的企业表示对开源的安全性并没有信心，还有49%的受访者表示他们所在的企业制定了规范开源使用的政策。

96%已知漏洞开源下载是可避免的

根据报告结果显示，到目前为止已经发现了88000个恶意开源软件包，这只是一个保守数字，实际可能要比这个数字高得多。这说明了威胁参与者插入存储库的恶意程序包以及 DevOps 团队无意中下载的意外漏洞对企业系统造成的日益增长的风险，而企业攻击面也正在快速增长。开源的庞大规模和软件依赖项引入的额外复杂性可能意味着开发人员无法准确有效识别所有威胁和漏洞。

调查表示，现在平均每个 Java 应用程序包含 148 个依赖项，这比去年增加了 20 个。报告估计，随着 Java 项目平均每年更新 10 次，开发人员必须每年为他们所处理的每个应用程序跟踪近 1500 次依赖项更改的情报。然而，开发人员似乎缺乏对这些开发环境的可见性。在过去一年里，影响开源项目的七个错误中，传递依赖占了六个。报告还指出，总体而言，有96%的包含已知漏洞的开源 Java 下载是可以避免的，因为有更好的版本可用，但由于某种原因没有使用。

很遗憾，许多企业似乎在一种虚假的安全感下进行开发和运营。报告显示，68%的受访者坚信他们的应用程序没有使用易受攻击的库。然而，企业应用程序的随机样本显示68%的应用程序包含已知漏洞。企业希望他们的开发人员在的日常工作中始终关注许可证合规性问题、多个项目发布、依赖项更改和开源生态系统知识。这一结果也发人深省，为了更好地保障企业软件供应链安全，企业迫切需要优先考虑软件供应管理，以便能够更好地应对安全风险、提高开发人员效率并实现更高效的创新。

开源供应链攻击激增430%

报告还对 24000 个开源项目和 15000 个开发组织的分析以及对 5600 名软件开发人员采访进行了采访。在2019 年 7 月至 2020 年 5 月期间记录了 929 次攻击。根据该报告，2020 年所有主要开源生态系统的组件下载请求将达到 1.5 万亿次，由于在安装包期间很容易触发恶意代码，Node.js (npm) 和 Python (PyPI) 存储库是攻击者最常攻击的目标之一。

在开源世界中，鉴于项目与项目之间的关联性，开源项目可能有其他项目的数百或数千个依赖项，这些项目可能包含可被利用的已知漏洞。报告还显示平均应用程序开发项目包含 49 个漏洞，跨越 80 个直接依赖项，有40%的问题存在于十分难找到的间接依赖项中。报告称，2019 年全球超过 10% 的 Java OSS 下载存在至少一个开源漏洞，新漏洞在公开披露后的三天内就被广泛利用。

如今，应用程序中 90% 的组件是开源的，其中 11% 已知包含漏洞。攻击者会在产品漏洞被披露后立即在企业进行补救之前发起攻击。由于攻击者正在将他们的攻击方向转移到软件供应链上游植入恶意开源组件，而组件可能被分发到供应链下游，然后被隐秘地利用。由于攻击的“上游化”和隐秘性，软件供应链攻击数量增加430%也在情理之中了。不过报告还表示，企业的开发团队可以尝试在软件开发生命周期中使用自动化软件成分分析（SCA）工具，并集中维护应用程序的软件物料清单（SBOM），这样能够有效缓解相关软件供应链安全风险。

Seal 软件供应链防火墙为保障企业软件供应链安全而生，旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等4大防护，通过全链路扫描、问题关联及风险阻止的方式保护企业软件供应链安全，降低企业安全漏洞修复成本。在最新版本中，Seal 软件供应链防火墙增强了依赖项分析，用户可以查看和检索单个项目或全局的依赖项组件，并提供发行信息、许可证、漏洞情况、安全评分等信息，支持导出软件物料清单（SBOM），同时基于Seal 自研的聚合漏洞数据库优化漏洞匹配规则。另外，Seal 支持 IaC 安全扫描，可以检测包括 Dockerfile、Kubernetes 资源文件、Terraform 文件等基础设施代码中的安全问题，为企业提供坚实保障。