بروزرسانی: 30 خرداد 1404
Sonatype افزایش 156٪ در بسته های مخرب OSS را گزارش داد
بر اساس یافته های جدید Sonatype، با افزایش مصرف نرم افزار منبع باز (OSS)، ب،زار OSS 156 درصد افزایش یافته است.
این شرکت گفت که بیش از 704102 بسته م،ب از سال 2019 شناسایی شده است و 512847 مورد از آنها از نوامبر 2023 شناسایی شده است. 10y وضعیت سالانه زنجیره تامین نرم افزار گزارش پیدا شد
طبق گزارش Sonatype، امسال یک سال رکورد در مصرف منبع باز بوده است که به 6.6 تریلیون دانلود رسیده است.
جاوا اسکریپت (npm) در سال 2024 بیش از 4.5 تریلیون درخواست را به خود اختصاص داد که نشان دهنده رشد 70 درصدی درخواست ها نسبت به سال گذشته است.
بر اساس نتایج Sonatype، پیش بینی می شود پایتون (PyPI) با هدایت هوش مصنوعی و پذیرش ابری، تا پایان سال 2024 به 530 میلیارد درخواست بسته برسد که 87 درصد نسبت به سال گذشته افزایش یافته است.
Npm یک مدیر بسته برای زبان برنامه نویسی جاوا اسکریپت است و PyPI یک مدیر بسته برای پایتون است.
این شرکت گفت که سازمان ها به مبارزه با کاهش موثر ریسک ادامه می دهند و در حالی که تحقیقات Sonatype بر ظهور پروژه های منبع باز آلوده متمرکز است، گزارش اشاره کرد که همه نرم افزارهای منبع باز یا تجاری در نهایت حاوی اشکالاتی هستند که به آسیب پذیری تبدیل می شوند.
اگرچه نسخه های به روز شده برای بیش از 99٪ بسته ها در دسترس هستند، 80٪ از وابستگی های برنامه ها برای بیش از یک سال توسعه نیافته باقی می مانند.
علاوه بر این، در 95٪ موارد، زم، که اجزای آسیب پذیر مصرف می شوند، یک نسخه پایدار از قبل وجود دارد.
این تهدید همچنان پابرجاست و 13 درصد از دانلودهای Log4j سه سال پس از افشای Log4s، در خطر هستند.
همچنین اشاره شد که ناشران در تلاش هستند تا با اصلاح CVE همگام شوند و رفع بسیاری از آسیب پذیری ها بیش از 500 روز طول می کشد.
بین سال های 2013 و 2023، رشد 463 درصدی در مق، با افراط گرایی خشونت آمیز مشاهده شد.
در این گزارش، Sonatype از تولیدکنندگان نرم افزار، مصرف کنندگان و تنظیم کننده ها می خواهد تا شیوه های امنیتی قوی را اتخاذ کنند و گفت که تعادل بین نوآوری و امنیت مهم تر از همیشه است.
برایان فا، می گوید: «در دهه گذشته، ما شاهد افزایش پیچیدگی و فراو، حملات زنجیره تأمین نرم افزار، به ویژه با افزایش ب،زارهای منبع باز بوده ایم، در حالی که ناشران و مصرف کنندگان نسبتاً در مورد امنیت راکد مانده اند». CTO. یکی از بنیانگذاران Sonatype. "به منظور اطمینان از یک ا،یستم منبع باز پر جنب و جوش و ایمن برای دهه آینده، ما باید پایه ای از امنیت پیشگیرانه را با هوشیاری در برابر ب،زارهای منبع باز، به حداقل رساندن رضایت مشتری و مدیریت وابستگی سرتاسری ایجاد کنیم."
علی رغم چالش ها، این شرکت خاطرنشان کرد که تنظیم کننده ها شروع به رسیدگی به مسائل کرده اند.
سیاست های جدید شروع به ظهور کرده اند، از جمله دستورالعمل به روز شده شبکه و سیستم های اطلاعاتی اتحادیه اروپا (NIS2) که از 17 اکتبر 2024 اجرایی می شود، و همچنین مقررات آتی که در هند و استرالیا ظاهر می شوند. این سیاست ها پذیرش SBOM را با بیش از 60000 SBOM در سال گذشته تشویق می کند.
گزارش Sonatype توسط داده های بیش از هفت میلیون پروژه منبع باز پشتیب، می شود.
منبع: https://www.infosecurity-magazine.com/news/156-increase-in-oss-malicious/