近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重,其中,开源软件的安全问题尤其值得关注。
据Sonatype的第八次年度软件供应链状况报告显示,截至今年为止,专家们已经发现了88000个恶意开源包,比2019年的同一数字增加了三位数,表明企业的攻击面正在快速增长。该报告是根据公共和专有数据分析编制的,包括1310亿次Maven Central下载和成千上万的开源项目。
另外也了解到,超过90%的软件应用程序使用开源组件,但使用开源软件在提高开发人员的开发效率的同时,也给软件应用程序的安全带来了更多不确定性。而且,在数字化转型加速的当下,在推动创新的过程中,开源的复杂性和开发速度也限制了软件供应链安全控制的有效性。
据研究预测,到2025年,全球45%的组织将会遭受一次或多次软件供应链攻击,82%的CIO认为他们将更容易受到攻击。这些攻击包括通过广泛使用的软件组件(如Log4j)中的漏洞进行的攻击,对构建管道的攻击(例如:SolarWinds、Kaseya和Codecov黑客攻击),或黑客破坏软件包存储库本身。
而正由于软件供应链攻击变得如此普遍,以至于Gartner将其列为2022年的第二大威胁。
什么是软件供应链安全?
企业软件项目越来越趋于依靠第三方和开源组件,该类组件由个人创建和维护,由于其与开发重要软件的组织无雇佣关系,所以第三方不一定使用与软件开发组织相同的安全策略。
这点存在着一定的安全风险,因为个人创建的安全策略与组织创建的安全策略二者之间存在着差异或不一致性,这可能会导致出现易被忽视的脆弱区域,从而给攻击者以可乘之机。