[[424362]]

根據Sonatype最新發布的《2021年軟件供應鏈狀況報告》，全球對開源代碼的旺盛需求導致軟件供應鏈攻擊同比增長650%。

報告顯示，全球的開發商累計從第三方開源生態系統“借用”超過2.2萬億個開源軟件包或組件，以加快上市時間。這包括從Maven中央存儲庫下載的 Java、從PyPi下載的Python包、從npmjs和.NET NuGet包下載的JavaScript等。這些共享代碼包通常包含公開披露的漏洞，攻擊者可以利用這些漏洞。然而，Sonatype警告說，越來越多的網絡犯罪分子變得更加積極主動。

報告指出：下一代軟件供應鏈攻擊要險惡得多，因為攻擊者不再等待公開漏洞披露來進行攻擊。相反，他們采取主動的方式，將新漏洞注入為全球供應鏈提供支持的開源項目中，然后在發現漏洞之前利用這些漏洞。通過將攻擊轉移到“上游”，攻擊者可以獲得影響力和關鍵的時間優勢，使惡意軟件能夠在整個供應鏈中傳播，從而對“下游”用戶進行更具可擴展性的攻擊。

在2015年2月至2019年6月之間的四年內，檢測到216起此類攻擊。然而，這一數字僅2019年7月至2020年5月這一年多的時間內就上升到了929起。在過去一年中，這一數字則飆升至12000起。其中主要的網絡威脅活動，包括對SolarWinds和Codecov的攻擊，這凸顯了代碼供應鏈攻擊的潛在嚴重影響。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文