开源项目中恶意软件包数量激增,一年内检测超50万个

Sonatype最新报告显示,过去一年中开源生态系统中的恶意软件包数量显著增加。专家指出,故意上传到开源存储库的恶意组件比去年增加了150%以上。

开源软件以其透明的开发流程和广泛的参与为特征,是现代数字技术的基石。然而,Sonatype的报告分析了700多万个项目后发现,超过50万个项目含有恶意组件,情况令人担忧。

近年来,随着一系列重大网络攻击和漏洞的曝光,开源软件包的安全问题以及开发者在维护这些软件包时面临的挑战日益突出。最近涉及数据压缩工具XZ Utils的事件就是一个典型例子。多年来,黑客一直试图在该工具中植入漏洞,以期最终影响全球众多Linux服务器。

专家指出,问题不仅在于黑客的攻击行为,更在于开源解决方案的发布者和使用者的态度。在追求快速发布新版本和新功能的过程中,安全性常常被忽视。结果是,一些严重漏洞长期得不到修复。例如,即使在Log4Shell组件中发现问题多年后,其约13%的下载量仍然是存在漏洞的版本。

数据显示,修复关键漏洞的平均时间已延长至500天,远超过往200至250天的范围。对于不太严重的错误,修复时间更长 - 在某些情况下甚至超过800天,而此前很少有超过400天的情况。

这些数据表明,软件供应链已经到了一个临界点,发布方的资源难以应对不断增加的漏洞数量。此外,每个编程生态系统都有其独特性,这使得确保代码安全变得更加困难。比如,近年来Node.js包管理器中与垃圾邮件和加密货币相关的恶意包数量急剧增加。

总的来说,这份报告凸显了开源软件生态系统面临的严峻安全挑战,呼吁业界加强对开源项目的安全管理和漏洞修复效率。

https://www.sonatype.com/state-of-the-software-supply-chain/Introduction