亚洲中字慕日产2020,大陆极品少妇内射AAAAAA,无码av大香线蕉伊人久久,久久精品国产亚洲av麻豆网站

資訊專欄INFORMATION COLUMN

開源網(wǎng)絡(luò)攻擊增加了650%,熱門項(xiàng)目更容易受到攻擊

testbird / 1442人閱讀

摘要:熱門項(xiàng)目更容易受到攻擊。據(jù)稱,目前的代碼庫至少存在一個(gè)安全漏洞。

Sonatype 發(fā)布的一份報(bào)告顯示,開源供需動(dòng)態(tài)持續(xù)強(qiáng)勁增長(zhǎng)。此外,關(guān)于開源安全風(fēng)險(xiǎn),該報(bào)告顯示,針對(duì)上游公共存儲(chǔ)庫的供應(yīng)鏈攻擊同比增長(zhǎng)了 650% ,并且在流行和非流行項(xiàng)目版本中存在的已知漏洞水平方面存在著有趣的二分法。

根據(jù)從702名軟件工程專業(yè)人士收集的調(diào)查反饋,研究發(fā)現(xiàn)人們對(duì)軟件鏈管理實(shí)踐的主觀信念與10萬個(gè)應(yīng)用程序的客觀結(jié)果之間存在根本脫節(jié)。

該報(bào)告分析了與Java (Maven Central)、JavaScript (npmjs)、Python (PyPI) 和 .Net (nuget) 生態(tài)系統(tǒng)相關(guān)的運(yùn)營(yíng)供應(yīng)、需求和安全趨勢(shì)。此外,研究人員研究了在過去12個(gè)月里,從開發(fā)人員進(jìn)行的100,000個(gè)生產(chǎn)應(yīng)用程序和4,000,000個(gè)組件遷移中收集的軟件工程實(shí)踐。

開源供應(yīng)、需求和安全動(dòng)態(tài)

供應(yīng)量增加20%。前四大開源生態(tài)系統(tǒng)現(xiàn)在包含37451,682個(gè)不同版本的組件。

需求增加73%。到2021年,世界各地的開發(fā)者將從前四大生態(tài)系統(tǒng)下載超過2.2萬億的開源軟件包。

攻擊增加650%。2021年,針對(duì)上游開源生態(tài)系統(tǒng)弱點(diǎn)的軟件供應(yīng)鏈攻擊呈指數(shù)級(jí)增長(zhǎng)。

生產(chǎn)應(yīng)用程序只利用了6%的可用項(xiàng)目。盡管有大量的開源項(xiàng)目可用,但使用率卻集中在少數(shù)受歡迎的項(xiàng)目中。

熱門項(xiàng)目更容易受到攻擊。29%的流行項(xiàng)目版本包含至少一個(gè)已知的安全漏洞。相反,只有6.5%的非流行項(xiàng)目版本這樣做,這表明安全研究人員關(guān)注的是最常用的項(xiàng)目。

開源風(fēng)險(xiǎn).png

確定最佳開源項(xiàng)目的經(jīng)驗(yàn)指標(biāo)

具有更快平均更新時(shí)間(MTTU)的項(xiàng)目更安全。研究發(fā)現(xiàn),他們出現(xiàn)漏洞的可能性要低1.8倍。

受歡迎程度并不能很好地預(yù)示安全性。流行的開源項(xiàng)目存在漏洞的可能性是普通項(xiàng)目的2.8倍。

開發(fā)團(tuán)隊(duì)之間的依賴管理實(shí)踐差異很大

軟件開發(fā)人員在更新第三方依賴時(shí),69%的情況下會(huì)做出次優(yōu)選擇。新版本的項(xiàng)目通常更好,但并不總是最好的。這在無形中忽視了版本中關(guān)于漏洞補(bǔ)丁的問題。

商業(yè)工程團(tuán)隊(duì)只管理他們使用的 25% 的組件,使得他們的大部分開源依賴項(xiàng)過時(shí)并且容易受到安全風(fēng)險(xiǎn)的影響。

自動(dòng)化每年可為組織節(jié)省 192,000 美元。如果配備了智能自動(dòng)化,一個(gè)擁有20個(gè)應(yīng)用程序開發(fā)團(tuán)隊(duì)的中型企業(yè)每年將節(jié)省160天開發(fā)時(shí)間。

軟件供應(yīng)鏈管理實(shí)踐:認(rèn)知與現(xiàn)實(shí)

主觀調(diào)查反饋和客觀數(shù)據(jù)之間存在脫節(jié)。人們相信他們?cè)谛迯?fù)有缺陷的組件方面做得很好,并表示他們了解風(fēng)險(xiǎn)所在??陀^上,研究表明開發(fā)團(tuán)隊(duì)缺乏結(jié)構(gòu)化的指導(dǎo),并且經(jīng)常在軟件供應(yīng)鏈管理方面做出次優(yōu)決策。

“今年的軟件供應(yīng)鏈狀況報(bào)告再次表明,開源如何既是數(shù)字創(chuàng)新的關(guān)鍵燃料,又是軟件供應(yīng)鏈攻擊的成熟目標(biāo),” Sonatype執(zhí)行副總裁Matt Howard表示。

“雖然開發(fā)人員對(duì)開源的需求繼續(xù)呈指數(shù)級(jí)增長(zhǎng),但我們的研究首次表明,實(shí)際使用的總體供應(yīng)量很少。

此外,我們現(xiàn)在知道流行的項(xiàng)目包含更多漏洞。這一嚴(yán)峻的現(xiàn)實(shí)凸顯了工程領(lǐng)導(dǎo)者采用智能自動(dòng)化的關(guān)鍵責(zé)任和機(jī)會(huì),這樣他們就可以對(duì)最好的開源供應(yīng)商進(jìn)行標(biāo)準(zhǔn)化,同時(shí)幫助開發(fā)人員保持第三方庫的更新和最新的最佳版本。”

同時(shí),面對(duì)開源存在更多安全漏洞的事實(shí),開發(fā)團(tuán)隊(duì)?wèi)?yīng)警惕潛在軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。在開發(fā)前期將安全考慮進(jìn)來。通常我們認(rèn)為有人看過代碼,他們分析了代碼就安全了。但實(shí)際上可能不是這樣。

據(jù)Synopsis稱,目前84%的代碼庫至少存在一個(gè)安全漏洞。由于開源軟件依賴于第三方代碼鏈,安全團(tuán)隊(duì)通常很難獲得依賴性供應(yīng)鏈的全部可見性,而在那些不易察覺的地方的任何漏洞都可能導(dǎo)致整個(gè)網(wǎng)絡(luò)受到破壞。建議企業(yè)在軟件開發(fā)過程中或進(jìn)行DevsecOps建設(shè)時(shí),有必要進(jìn)行一定的靜態(tài)代碼安全檢測(cè)及開源代碼安全測(cè)試,以確保沒有在無意間將安全漏洞引入軟件,提高軟件安全性降低遭到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。Wukong(悟空)靜態(tài)代碼檢測(cè)工具,從源碼開始,為您的軟件安全保駕護(hù)航!

參讀鏈接:

www.woocoom.com/b021.html?i…

www.helpnetsecurity.com/2021/09/17/…

文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/120834.html

相關(guān)文章

  • 2012:云計(jì)算的春天

    回顧2012,更多開放,更多協(xié)作,更多機(jī)會(huì)產(chǎn)生。從來沒有一項(xiàng)服務(wù)會(huì)將幾乎所有IT、互聯(lián)網(wǎng)、通信技術(shù)整合在一起,沒有合作、開放的心態(tài)就沒有云計(jì)算。接下來,將從IaaS、NoSQL與NewSQL、數(shù)據(jù)中心、大數(shù)據(jù)、安全這幾個(gè)方面對(duì)過去一年作出總結(jié)。IaaS——群雄追趕AWS談到IaaS,Google和AWS是公認(rèn)的業(yè)界最強(qiáng)。AWS是全球?qū)aaS這個(gè)business運(yùn)營(yíng)的較好的公司,除了技術(shù)領(lǐng)先,還要...

    Vicky 評(píng)論0 收藏0

  • 零日攻擊是混合云面臨的主要問題

    摘要:結(jié)果表明,人們對(duì)零日攻擊和容器采用率的增加表示擔(dān)憂。的企業(yè)在過去一年中報(bào)告了其云環(huán)境受到攻擊,的企業(yè)表示零日攻擊是這些攻擊的起源。公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官表示,零日攻擊將永遠(yuǎn)是一個(gè)真實(shí)且不可預(yù)知的威脅。根據(jù)一項(xiàng)新的調(diào)查研究,混合云環(huán)境特別容易受到 零日漏洞(zero-day)的攻擊。 零日漏洞就是安全漏洞在當(dāng)天或在24小時(shí)內(nèi)被發(fā)現(xiàn)之后立即被惡意利用進(jìn)行攻擊,這種攻擊是在廠商缺少防范意識(shí)或...

    plus2047 評(píng)論0 收藏0

  • Atlassian Confluence網(wǎng)絡(luò)攻擊擴(kuò)大,Jenkins遭受重創(chuàng)

    摘要:針對(duì)該事件,團(tuán)隊(duì)將受影響的服務(wù)器下線,并對(duì)安全事件展開調(diào)查。圖片根據(jù)安全公司和的說法,大多數(shù)部署了加密貨幣礦工的攻擊仍在進(jìn)行中。圖片的安全困境月,修補(bǔ)了其平臺(tái)中的一個(gè)嚴(yán)重缺陷,這是一種用于軟件開發(fā)的專有錯(cuò)誤跟蹤和敏捷項(xiàng)目管理工具。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:...

    Caicloud 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

閱讀需要支付1元查看
<