[[424362]]

根據(jù)Sonatype最新發(fā)布的《2021年軟件供應(yīng)鏈狀況報告》，全球?qū)﹂_源代碼的旺盛需求導致軟件供應(yīng)鏈攻擊同比增長650%。

報告顯示，全球的開發(fā)商累計從第三方開源生態(tài)系統(tǒng)“借用”超過2.2萬億個開源軟件包或組件，以加快上市時間。這包括從Maven中央存儲庫下載的 Java、從PyPi下載的Python包、從npmjs和.NET NuGet包下載的JavaScript等。這些共享代碼包通常包含公開披露的漏洞，攻擊者可以利用這些漏洞。然而，Sonatype警告說，越來越多的網(wǎng)絡(luò)犯罪分子變得更加積極主動。

報告指出：下一代軟件供應(yīng)鏈攻擊要險惡得多，因為攻擊者不再等待公開漏洞披露來進行攻擊。相反，他們采取主動的方式，將新漏洞注入為全球供應(yīng)鏈提供支持的開源項目中，然后在發(fā)現(xiàn)漏洞之前利用這些漏洞。通過將攻擊轉(zhuǎn)移到“上游”，攻擊者可以獲得影響力和關(guān)鍵的時間優(yōu)勢，使惡意軟件能夠在整個供應(yīng)鏈中傳播，從而對“下游”用戶進行更具可擴展性的攻擊。

在2015年2月至2019年6月之間的四年內(nèi)，檢測到216起此類攻擊。然而，這一數(shù)字僅2019年7月至2020年5月這一年多的時間內(nèi)就上升到了929起。在過去一年中，這一數(shù)字則飆升至12000起。其中主要的網(wǎng)絡(luò)威脅活動，包括對SolarWinds和Codecov的攻擊，這凸顯了代碼供應(yīng)鏈攻擊的潛在嚴重影響。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文