报告：下一代开源网络攻击将增加430%

Sonatype 发布了 2020 年软件供应链状况报告，指出旨在积极渗透开源软件供应链的下一代网络攻击增加了 430%。

这是 Sonatype 的第六份年度软件供应链状况报告，该报告分析了超过 1.5 万亿次开源下载请求、24,000 个开源项目和 5,600 个企业开发团队。 报告显示，在过去的 12 个月中，它记录了 929 起下一代软件供应链攻击事件。 相比之下，2015 年 2 月至 2019 年 6 月期间仅记录了 216 起此类攻击。

对此，索尼 CEO 韦恩杰克逊（Wayne Jackson）表示，“在 2017 年臭名昭著的 Equifax 漏洞事件发生后比特币开源代公开了，公司大幅增加了投资，以防止对开源软件供应链的类似攻击。我们的研究表明，商业工程团队能够对新的零日漏洞的响应正在改进。因此，当竞争对手将其活动移至“上游”时，下一代供应链攻击增加 430% 也就不足为奇了，因为攻击者可以感染单个开源组件，而这些组件可能分布在“下游” " 并有策略地和秘密地使用

研究发现，企业软件开发团队对开源软件工件中的漏洞的响应时间也各不相同。 其中，51% 的公司花了超过一周的时间来修补新的零日漏洞。 此外，该报告指出，高性能开发团队检测和修复开源漏洞的速度比其他团队快 26 倍，部署代码更改的频率比同行高 15 倍。 与此同时，他们使用自动化软件组合分析 (SCA) 的可能性增加了 59%，成功更新依赖项和修复漏洞的可能性增加了近 5 倍。

报告中的其他发现包括：

▪️ 到 2020 年比特币开源代公开了，所有主要开源生态系统的组件下载请求预计将达到 1.5 万亿

▪️ 开发者下载的JavaOSS组件中有10%存在安全漏洞

▪️ 开发人员在其应用程序中构建的开源组件中有 11% 存在已知漏洞，平均有 38 个

▪️ 40% 的 NPM 包包含具有已知漏洞的依赖项

▪️ 新的开源零日漏洞在公开披露后三天内被利用

完整报告地址：

据区块链通报，银保监会等五部门于2018年8月发布《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》。理性对待区块链，不盲目相信铺张浪费的承诺，树立正确的货币观和投资观，切实提高风险意识。 如发现违法犯罪线索，可主动向有关部门举报。