開源軟件安全隱患加劇

關(guān)鍵要點(diǎn)

• 惡意開源軟件包在過去12個(gè)月激增至512,847個(gè)，年增長(zhǎng)率達(dá)156%。
• 開源軟件總下載量超過6.6萬億次，主要集中在JavaScript請(qǐng)求。
• 盡管有更安全的版本，95%的不當(dāng)開源組件仍被下載。
• 超過80%的應(yīng)用依賴在一年內(nèi)未更新，安全漏洞修復(fù)時(shí)間延長(zhǎng)。
• 軟件材料清單（SBOM）利用率有限，過去一年僅發(fā)布60,000個(gè)，與700萬新發(fā)布開源組件相比，比例懸殊。

根據(jù)的報(bào)道，過去12個(gè)月，惡意開源軟件包的數(shù)量增加至512,847個(gè)，年增長(zhǎng)率高達(dá)156%。與此同時(shí)，開源軟件的總下載量已超過6.6萬億次，其中大多數(shù)請(qǐng)求來自JavaScript。

這些威脅的加劇，再加上傳統(tǒng)安全軟件未能有效檢測(cè)它們，導(dǎo)致了安全實(shí)踐的改善停滯。根據(jù)Sonatype的一項(xiàng)研究，盡管有更安全的版本可供選擇，過去一年內(nèi)仍有95%的不當(dāng)開源組件被下載。此外，組織在超過一年內(nèi)未更新80%的應(yīng)用依賴性，即使有更安全的版本存在，安全漏洞的修復(fù)過程也因維護(hù)者的工作負(fù)荷過重而變得更加緩慢。

額外發(fā)現(xiàn)還顯示，軟件材料清單（SBOM）的利用率有限，過去一年發(fā)布的SBOM總數(shù)僅為60,000個(gè)，而同期新發(fā)布的開源組件接近700萬個(gè)，這一差距令人擔(dān)憂。

在現(xiàn)代軟件開發(fā)中，不可忽視的安全風(fēng)險(xiǎn)正在顯著增加，企業(yè)應(yīng)加強(qiáng)開源軟件的使用管理，及時(shí)更新依賴并重視安全性，以保護(hù)系統(tǒng)和數(shù)據(jù)的安全。具體措施包括定期審計(jì)開源組件、使用軟件材料清單（SBOM）追蹤軟件組件和依賴關(guān)系等。