2018年，开源供应链这块处女地开始遭到破坏

翻译：360代码卫士团队

随着软件供应链中使用的开源组件数量激增，黑客也开始搭上这趟顺风车。越来越多的威胁者正将恶意代码植入开源仓库中，希望能够在大规模的银行、制造和医疗 DevOp 项目中收割这些缺陷。

Sonatype 公司的副总裁兼 DevOps 提倡者 Derek Weeks 表示，“Equifax 数据泄露和 Struts 漏洞问题让我们警醒。”2017年末，一个开源组件导致企业历史上发生了成本最高的数据泄露事件。Weeks 指出，大规模的 Equifax 数据泄露事件发生的几个月后，易受攻击的 Struts 组件被继续下载的次数超过7.2万次。

Sonatype 发布《2018年软件供应链状况报告》指出，在去年下载的超过3000亿款开源组件中，在每8个组件中就有1个组件含有已知漏洞。

Weeks 认为，加速软件创新的高压锅环境逼着企业追求速度而非安全。报告发现开源漏洞的数量年同比增长120%。黑客利用这些漏洞的平均时间已经大大减少，从原来的平均45天减少至3天。可疑或已知开源数据泄露事件的数量年同比增长了55%。

这份长达37页的报告分析了过去12个月来和开源软件开发相关的模式和做法。这份年度报告审视了软件供应链管理状况和执行供应链交易、管理供应商关系和与控制相关业务流程相关方中使用的软件工具和模块。报告指出，“开源软件对于开发人员而言是必需品而且至关重要。但目前并不存在阻止开发人员构建含有已知漏洞软件的指南或规定。”更糟糕的是，公开的漏洞数据库缺乏对超过130万个开源安全公告的信息。

Weeks 表示，与防止汽车制造商将有缺陷的高田 (Takata) 安全气囊安装到机动车辆的规定不同，针对恶意软件并没有类似限制规定。问题有两个方面，一是警告 DevOps团队发现恶意代码的整套解决方案很少；二是私营企业缺乏执行力。

Weeks 表示，因软件供应链缺陷而造成大量高级别事件的情况引起美国和其它国家法规部门的重视。2017年6月，众议员Anna Eschoo 和 SusanBrooks 推出《良好网络清洁推广法案》。2017年8月，众议院网络安全核心小组的联合主席参议员 Mark R. Warner 和 Cory Gardner 与参议员 Ron Wyden 和 Steve Daines 推出了两党法案《2017年物联网网络安全改进法案》。

报告指出，“虽然参议员推出的法案明确旨在保护消费者和隐私安全，但它同时也关注其它主流制造行业所适用的质量、安全和法规标准（例如，禁止交付含有已知缺陷的产品）。”

这份报告的一个亮点是，有数据表明通过自动化开源软件治理管理软件供应链能够将漏洞的发生减少50%。报告指出，“如果策略被自动化，那么DevOps 团队遵守开源治理的意愿是90%。”

Sonatype 公司在报告中指出，网络安全行业在软件供应链和网络安全卫生方面的自我规范远远不够。报告指出，“在面临创新和维护竞争优势时，并不存在自我治理方面的激励措施。”

这份报告提倡使用管理软件供应链的做法，认为效率和安全性会翻一番。报告指出，“开源的供求并无放缓趋势。开发人员每天能够使用超过1.5万个新的或更新后的开源产品。2017年，每家企业平均下载17万个 Java 组件，同比增长36%。”

原文链接

https://threatpost.com/2018-has-been-open-season-on-open-source-supply-chains/137726/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。