[[424362]]

根據(jù)Sonatype最新發(fā)布的《2021年軟件供應(yīng)鏈狀況報(bào)告》，全球?qū)﹂_源代碼的旺盛需求導(dǎo)致軟件供應(yīng)鏈攻擊同比增長650%。

報(bào)告顯示，全球的開發(fā)商累計(jì)從第三方開源生態(tài)系統(tǒng)“借用”超過2.2萬億個(gè)開源軟件包或組件，以加快上市時(shí)間。這包括從Maven中央存儲(chǔ)庫下載的 Java、從PyPi下載的Python包、從npmjs和.NET NuGet包下載的JavaScript等。這些共享代碼包通常包含公開披露的漏洞，攻擊者可以利用這些漏洞。然而，Sonatype警告說，越來越多的網(wǎng)絡(luò)犯罪分子變得更加積極主動(dòng)。

報(bào)告指出：下一代軟件供應(yīng)鏈攻擊要險(xiǎn)惡得多，因?yàn)楣粽卟辉俚却_漏洞披露來進(jìn)行攻擊。相反，他們采取主動(dòng)的方式，將新漏洞注入為全球供應(yīng)鏈提供支持的開源項(xiàng)目中，然后在發(fā)現(xiàn)漏洞之前利用這些漏洞。通過將攻擊轉(zhuǎn)移到“上游”，攻擊者可以獲得影響力和關(guān)鍵的時(shí)間優(yōu)勢(shì)，使惡意軟件能夠在整個(gè)供應(yīng)鏈中傳播，從而對(duì)“下游”用戶進(jìn)行更具可擴(kuò)展性的攻擊。

在2015年2月至2019年6月之間的四年內(nèi)，檢測(cè)到216起此類攻擊。然而，這一數(shù)字僅2019年7月至2020年5月這一年多的時(shí)間內(nèi)就上升到了929起。在過去一年中，這一數(shù)字則飆升至12000起。其中主要的網(wǎng)絡(luò)威脅活動(dòng)，包括對(duì)SolarWinds和Codecov的攻擊，這凸顯了代碼供應(yīng)鏈攻擊的潛在嚴(yán)重影響。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文