近日，軟件管理企業(yè)Sonatype發(fā)布了《2022 年軟件供應(yīng)鏈狀況報告》，該報告圍繞軟件供應(yīng)鏈持續(xù)增長的安全威脅、開源依賴關(guān)系管理等方面進(jìn)行了探討，旨在指導(dǎo)開發(fā)人員在軟件供應(yīng)鏈方面的安全實踐。

　　報告指出，2021年底爆發(fā)的Log4j事件成為了許多企業(yè)組織的分水嶺，極大的影響了組織顳部新的開源管理策略的發(fā)展。在這一事件的影響下，2022年開發(fā)人員對于開源項目的應(yīng)用有所放緩，下載并集成到軟件中的開源組件的數(shù)量總體平均增長率已從2021年73%的歷史高點大幅放緩至更溫和的33%。

　　但能夠看到的是，在數(shù)字經(jīng)濟、云計算和人工智能等新技術(shù)、新場景的創(chuàng)新發(fā)展下，開源項目的應(yīng)用仍然在飛速增長，并且沒有顯示出短期內(nèi)停止的跡象。同樣，開源下載量也在不斷加速，這相當(dāng)于一場潛在威脅的完美風(fēng)暴，其范圍、復(fù)雜性和影響都在擴大。

　　據(jù)報告統(tǒng)計，2022年針對開源存儲庫的已知攻擊同比增長了633%，自2019年以來，平均年增長高達(dá)742%。

　　開源項目的消費者與維護(hù)者

　　誰才是開源風(fēng)險加劇的罪魁禍?zhǔn)祝?/strong>

　　近兩年來，隨著開源軟件供應(yīng)鏈的問題日益受到關(guān)注，有關(guān)開源風(fēng)險來源的問題一次次的引起各界討論。尤其開源項目的發(fā)布者和維護(hù)者受到了許多質(zhì)疑，他們經(jīng)常被貼上不負(fù)責(zé)任或不愿意更新軟件的標(biāo)簽。

　　但事實上，根據(jù)Maven Central 存儲庫下載數(shù)據(jù)顯示，開源項目的消費者們似乎才是造成相關(guān)風(fēng)險激增的主要原因。據(jù)報告有效統(tǒng)計，2021年 Maven Central存儲庫的全年下載量超過 1310 億次。隨后，將下載沒有固定版本的易受攻擊開源組件的使用者與具有固定版本但未選擇的易受攻擊開源組件進(jìn)行比較后發(fā)現(xiàn)，存在易受攻擊版本開源項目中95.5% 都提供了修復(fù)版本，但仍然有62%的消費者會去下載易受攻擊項目。

　　在 Maven 中央存儲庫中大約有1000萬個項目可供下載。根據(jù)報告中的數(shù)據(jù)，這些版本中只有35%（350萬）包含已知易受攻擊的問題，而在易受攻擊的版本中，只有4.2%（147，000個）沒有可用的修復(fù)程序，這意味著95.8%的易受攻擊的下載項目都有可用的安全修復(fù)版本。

　　據(jù)報告測算，全球約有2600萬開發(fā)人員（消費者），這些消費者中約有1440萬正在下載易受攻擊的開源組件。在這個群體中，有570萬下載了一個沒有可用修復(fù)的開源組件，這意味著870萬消費者有固定的選擇，但他們?nèi)匀贿x擇了一個易受攻擊的版本。

　　為什么有870萬開源消費者選擇了易受攻擊的版本，而不是不易受攻擊的版本？Sonatype認(rèn)為原因主要存在于以下三點：

　　流行度

　　在決定在開發(fā)項目中使用哪些開源組件時，流行度通常用作選擇的一個重要標(biāo)準(zhǔn)。即默認(rèn)為：“其他人都在使用它，因此它是安全可靠的”。從理論上講，這是有道理的，因為更受歡迎的項目應(yīng)該會更快地得到修復(fù)，但事實并非如此，依賴關(guān)系的受歡迎程度與更快的安全修復(fù)時間并不相關(guān)。一個受歡迎的開源項目并不一定意味著它更安全。

　　清晰度

　　通常，開發(fā)人員在構(gòu)建軟件供應(yīng)鏈時不會手動選擇單個版本，這些開源組件已經(jīng)是正在使用或構(gòu)建的項目的一部分。正如《2020年軟件供應(yīng)鏈狀況報告》數(shù)據(jù)顯示，當(dāng)前80-90%的現(xiàn)代應(yīng)用程序是由開源軟件組成。如果沒有實現(xiàn) SBOM 和適當(dāng)?shù)?DevSecOps 實踐，開發(fā)人員和軟件工程團隊可能無法知道這些易受攻擊的組件是否正在使用、提取或構(gòu)建。

　　自動化

　　雖然當(dāng)前市面上有很多開源自動化工具，但其中很少有內(nèi)置安全功能。與上面的清晰度問題類似，這種自動化可能會掩蓋潛在的易受攻擊的依賴關(guān)系，使開發(fā)人員能夠在不知不覺中構(gòu)建具有已知漏洞的項目。

　　因此報告認(rèn)為，如果開發(fā)人員們能夠樹立正確的安全開發(fā)習(xí)慣，就可以極大的規(guī)避開源安全風(fēng)險。此外，安全業(yè)界當(dāng)前也已經(jīng)推出了針對許多軟件供應(yīng)鏈安全管理解決方案，但這些工具并沒有得到廣泛的應(yīng)用，這也成為了企業(yè)和組織在軟件供應(yīng)鏈安全風(fēng)險面前無力應(yīng)對的重要原因。

　　每個開源組件都可能包含漏洞，開發(fā)人員必須跟蹤每個應(yīng)用每年可能發(fā)生的數(shù)千個更改。因此，錯誤不可避免。對于開發(fā)團隊來說，至關(guān)重要的是要了解過時、易受攻擊的開源軟件的潛在風(fēng)險，并考慮采用自動化方法來減輕負(fù)擔(dān)。

　　應(yīng)用自動化工具治理軟件供應(yīng)鏈安全風(fēng)險迫在眉睫

　　安全419注意到，日前懸鏡安全發(fā)布《2022 DevSecOps行業(yè)洞察報告》中也提出，2022下半年，開源軟件供應(yīng)鏈安全熱度將只增不減。懸鏡安全認(rèn)為，作為業(yè)務(wù)應(yīng)用程序的重要組成部分，開源軟件已成為網(wǎng)絡(luò)空間的重要基礎(chǔ)設(shè)施。開源軟件的大量使用導(dǎo)致軟件 供應(yīng)鏈越來越復(fù)雜化和多樣化，開源軟件已成為影響軟件供應(yīng)鏈安全的關(guān)鍵因素之一。

　　隨著開源組件使用的增加，風(fēng)險面也在不斷膨脹，使用包含已知安全漏洞的開源組件很有可能將安全缺陷引入到軟件產(chǎn)品中，并隨著軟件的使用而進(jìn)行擴散，進(jìn)而對軟件供應(yīng)鏈造成巨大的安全威脅。

　　在針對開源軟件供應(yīng)鏈風(fēng)險治理的自動化工具層面，懸鏡安全在報告中重點推薦了SCA軟件成分分析和SBOM軟件物料清單兩類產(chǎn)品：

　　● SCA在查找通用和流行的庫和組件（尤其是開放源代碼）方面最為有效，不僅可以識別第三方組件的開源安全風(fēng)險和漏洞，還可以提供每個組件的許可和漏洞信息，更先進(jìn)的工具能夠自動化開源選擇、批準(zhǔn)和跟蹤的整個過程，為開發(fā)人員節(jié)省寶貴的時間并顯著提高他們的準(zhǔn)確性。

　　● SBOM目前也已經(jīng)成為了安全業(yè)界公認(rèn)的遏制軟件供應(yīng)鏈風(fēng)險的最佳方案之一，SBOM 的推廣應(yīng)用可以增強軟件供應(yīng)鏈的可見性，極大地便利軟件組件溯源、軟件產(chǎn)品依賴關(guān)系梳理、已知漏洞的影響范圍判斷、及時發(fā)現(xiàn)惡意軟件滲透等，從而有力支撐軟件供應(yīng)鏈相關(guān)監(jiān)管政策規(guī)則的落地實施。

　　這兩類產(chǎn)品也已成為行業(yè)在軟件供應(yīng)鏈安全方面的主流方案，包括懸鏡安全、酷德啄木鳥、安全玻璃盒等廠商均已打造了相應(yīng)的成熟方案，推薦了解。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<