對開源倉庫的攻擊越來越頻繁了。
根據近日的研究,由於越來越多的企業使用開源代碼倉庫來開發他們的軟件及解決方案,網絡犯罪分子正在藉此獲利。根據軟件供應鏈管理服務提供商 Sonatype 最近所做的研究,在最近三年里,受感染的軟件包、以及對這些軟件平台的仿冒攻擊typosquatting assaults和類似的黑客攻擊的頻率大幅增加。
該企業在過去三年中發現了大約 95000 個有害軟件包,以及超過 55000 個最近才使用他們的存儲庫防火牆公布出來的危險軟件包。屆時,這個數字在三年內平均增長了 700%。
該企業稱,他們的存儲庫防火牆將通過融合行為分析和自動策略執行的方式,不斷發現並阻止有害軟件包及潛在的易受攻擊的組件。此外,它還使用了人工智能對每個新發布的開源軟件進行評估,看它是否會帶來一些安全風險。而且該企業斷言,由於開源代碼的迅速增加,人工分析已變得幾乎不可能。
然而,這與企業是否在它的最終產品中包含受感染的惡意組件無關。該公司聲稱,如果那些惡意組件已經被下載到他們的端點上,就已經太晚了。
“惡意網絡攻擊的數量、頻率、嚴重性和複雜性還在增長。但企業不能,也不應該僅為保護自身而避免使用開源代碼。” Fox 補充說:“但他們可以使用預防性的工具,例如 Sonatype 防火牆來保證開發人員的工作進度和軟件供應鏈的安全。”
via: https://www.opensourceforu.com/2022/09/attacks-on-open-source-software-are-on-the-rise/
作者:Laveesh Kocher選題:lkxed譯者:自由的鐵礦校對:wxy
本文由 LCTT原創編譯,Linux中國榮譽推出
