对此,Sonatype 首席执行官 Wayne Jackson 暗示,「 在 2017 年污名昭著的 Equifax 违规事件产生之后,企业大幅地增加了投资,以防备对开源软件供给链的雷同进攻。我们的研究表白,贸易工程团队应对新的零日裂痕的本领正在提高。因此,当敌手将勾当转移到「上游」时,,下一代供给链进攻增加了 430% 也就不敷为奇了,因为进攻者可以传染单个开源组件,该组件有大概被「下游」分发,并被计谋性地、奥秘地操作。」
▪️ 在果真披露后的三天内,新的开源零日裂痕就已被操作
▪️ 40% 的 npm 软件包包括有已知裂痕的依赖项
原文来历:开源中国
研究发明,企业软件开拓团队对开源软件组件中裂痕的响应时间也有所差异。个中,有 51% 的组织需要一周以上的时间来调停新的零日裂痕。另外,陈诉还指出,高机能的开拓团队在检测和修复开放源代码裂痕方面的速度提高了 26 倍,而且陈设代码改观的频率也比同行高 15 倍。同时,他们利用自动化软件构成阐明(SCA)的大概性要跨越 59%,且乐成更新依赖干系和修复裂痕而不呈现马脚的大概性也要跨越近 5 倍。
▪️ 开拓人员构建到其应用措施中的开源组件中,有 11% 存在已知的裂痕,平均发明 38 个裂痕
▪️ 开拓人员下载的 Java OSS 组件中有 10% 存在已知的安详裂痕
Sonatype 宣布了《2020 年软件供给链状况》陈诉指出,旨在努力渗透开源软件供给链的下一代网络进攻大局限激增 430%。
▪️ 到 2020 年,所有主要开源生态系统的组件下载请求估量将到达 1.5 万亿
完整陈诉地点:https://www.sonatype.com/2020ssc
这是 Sonatype 宣布的第六份年度软件供给链状况陈诉,此陈诉阐明白高出 1.5 万亿个开源下载请求,24,000 个开源项目和 5,600 个企业开拓团队。陈诉指出,在已往的 12 个月中,其共记录了 929 次下一代软件供给链进攻。对比之下,2015 年 2 月至 2019 年 6 月之间记录的此类进攻则只有 216 起。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
