Các cuộc tấn công đứt gãy chuỗi cung ứng phần mềm tăng 742% trong ba năm
(DNTO) - Các chuyên gia đã phát hiện ra 88.000 gói mã nguồn mở độc hại cho đến thời điểm hiện nay, tăng gấp ba con số so với con số tương tự vào năm 2019, điều đó cho thấy bề mặt tấn công vào các doanh nghiệp đang phát triển nhanh chóng.
Ảnh blog.gitguardian.com
Các số liệu trong báo cáo Trạng thái chuỗi cung ứng phần mềm (State of the Software Supply Chain) lần thứ tám hằng năm của Sonatype, được tổng hợp từ phân tích dữ liệu công khai và độc quyền, bao gồm 131 tỷ lượt tải xuống ở kho lưu trữ nguồn mở Maven Central và hàng nghìn dự án nguồn mở khác.
Báo cáo nêu chi tiết về nguy cơ ngày càng tăng đối với các hệ thống của công ty từ cả các gói độc hại được các tác nhân đe dọa chèn vào kho lưu trữ và các lỗ hổng tình cờ được các nhóm DevOps vô tình tải xuống.
Sự gia tăng các hoạt động độc hại là minh chứng cho việc các nhóm này sử dụng các gói mã nguồn mở ngày càng tăng để tăng tốc thời gian đưa ra thị trường. Công ty Sonatype ước tính rằng các yêu cầu mã nguồn mở sẽ vượt quá ba nghìn tỷ trong năm nay.
Các nhà phát triển lập luận rằng quy mô tuyệt đối của việc tiêu thụ mã nguồn mở và sự phức tạp thêm do phụ thuộc vào phần mềm có thể đồng nghĩa với việc các nhà phát triển bỏ qua các mối đe dọa và lỗ hổng bảo mật.
Ví dụ riêng với ứng dụng Java trung bình hiện chứa 148 gói phụ thuộc đi kèm khi cài đặt nhiều hơn 20 gói so với năm ngoái. Với dự án Java trung bình cập nhật 10 lần một năm, các nhà phát triển phải theo dõi thông tin về gần 1500 thay đổi phụ thuộc hàng năm cho mỗi ứng dụng mà họ làm việc, Sonatype ước tính.
Tuy nhiên, khả năng hiển thị đối với các môi trường phát triển này dường như còn thiếu: Sự phụ thuộc bắc cầu(cứ mỗi gói phần mềm cài đặt thì cần cài theo các gói đi kèm) chiếm sáu trong số bảy lỗi ảnh hưởng đến các dự án nguồn mở trong năm qua, Sonatype tuyên bố.
"Nhìn chung, có thể tránh được 96% các bản tải xuống Java nguồn mở có chứa các lỗ hổng bảo mật đã biết, vì đã có phiên bản tốt hơn nhưng vì một số lý do không được sử dụng", báo cáo lưu ý. Thật không may, nhiều tổ chức dường như đang hoạt động dưới một cảm giác an toàn sai lầm.
Báo cáo còn tiết lộ rằng, 68% người trả lời khảo sát tin tưởng rằng các ứng dụng của họ không sử dụng các thư viện dễ bị tấn công. Tuy nhiên, một mẫu ngẫu nhiên của các ứng dụng doanh nghiệp cho thấy 68% chứa các lỗ hổng đã biết.
“Các tổ chức non trẻ mong đợi các nhà phát triển của họ luôn quan tâm đến vấn đề tuân thủ giấy phép, nhiều bản phát hành dự án, thay đổi phụ thuộc và kiến thức về hệ sinh thái nguồn mở cùng với trách nhiệm công việc thường xuyên của họ. Điều này cộng với những áp lực bên ngoài như tốc độ, mức độ tin cậy", theo giải thích của Giám đốc công nghệ của Sonatype.
Không có gì ngạc nhiên khi sự hài lòng trong công việc được liên kết chặt chẽ với sự trưởng thành của chuỗi cung ứng phần mềm. Thực tế nghiêm trọng này cho thấy nhu cầu ngay lập tức của các tổ chức trong việc ưu tiên quản lý cung cấp phần mềm để họ có thể đối phó tốt hơn với rủi ro bảo mật, tăng hiệu quả của nhà phát triển và cho phép đổi mới nhanh hơn.
Có thể bạn quan tâm
Tin khác
