近日，軟件管理企業Sonatype發布了《2022 年軟件供應鏈狀況報告》，該報告圍繞軟件供應鏈持續增長的安全威脅、開源依賴關系管理等方面進行了探討，旨在指導開發人員在軟件供應鏈方面的安全實踐。

　　報告指出，2021年底爆發的Log4j事件成為了許多企業組織的分水嶺，極大的影響了組織顳部新的開源管理策略的發展。在這一事件的影響下，2022年開發人員對于開源項目的應用有所放緩，下載并集成到軟件中的開源組件的數量總體平均增長率已從2021年73%的歷史高點大幅放緩至更溫和的33%。

　　但能夠看到的是，在數字經濟、云計算和人工智能等新技術、新場景的創新發展下，開源項目的應用仍然在飛速增長，并且沒有顯示出短期內停止的跡象。同樣，開源下載量也在不斷加速，這相當于一場潛在威脅的完美風暴，其范圍、復雜性和影響都在擴大。

　　據報告統計，2022年針對開源存儲庫的已知攻擊同比增長了633%，自2019年以來，平均年增長高達742%。

　　開源項目的消費者與維護者

　　誰才是開源風險加劇的罪魁禍首？

　　近兩年來，隨著開源軟件供應鏈的問題日益受到關注，有關開源風險來源的問題一次次的引起各界討論。尤其開源項目的發布者和維護者受到了許多質疑，他們經常被貼上不負責任或不愿意更新軟件的標簽。

　　但事實上，根據Maven Central 存儲庫下載數據顯示，開源項目的消費者們似乎才是造成相關風險激增的主要原因。據報告有效統計，2021年 Maven Central存儲庫的全年下載量超過 1310 億次。隨后，將下載沒有固定版本的易受攻擊開源組件的使用者與具有固定版本但未選擇的易受攻擊開源組件進行比較后發現，存在易受攻擊版本開源項目中95.5% 都提供了修復版本，但仍然有62%的消費者會去下載易受攻擊項目。

　　在 Maven 中央存儲庫中大約有1000萬個項目可供下載。根據報告中的數據，這些版本中只有35%（350萬）包含已知易受攻擊的問題，而在易受攻擊的版本中，只有4.2%（147，000個）沒有可用的修復程序，這意味著95.8%的易受攻擊的下載項目都有可用的安全修復版本。

　　據報告測算，全球約有2600萬開發人員（消費者），這些消費者中約有1440萬正在下載易受攻擊的開源組件。在這個群體中，有570萬下載了一個沒有可用修復的開源組件，這意味著870萬消費者有固定的選擇，但他們仍然選擇了一個易受攻擊的版本。

　　為什么有870萬開源消費者選擇了易受攻擊的版本，而不是不易受攻擊的版本？Sonatype認為原因主要存在于以下三點：

　　流行度

　　在決定在開發項目中使用哪些開源組件時，流行度通常用作選擇的一個重要標準。即默認為：“其他人都在使用它，因此它是安全可靠的”。從理論上講，這是有道理的，因為更受歡迎的項目應該會更快地得到修復，但事實并非如此，依賴關系的受歡迎程度與更快的安全修復時間并不相關。一個受歡迎的開源項目并不一定意味著它更安全。

　　清晰度

　　通常，開發人員在構建軟件供應鏈時不會手動選擇單個版本，這些開源組件已經是正在使用或構建的項目的一部分。正如《2020年軟件供應鏈狀況報告》數據顯示，當前80-90%的現代應用程序是由開源軟件組成。如果沒有實現 SBOM 和適當的 DevSecOps 實踐，開發人員和軟件工程團隊可能無法知道這些易受攻擊的組件是否正在使用、提取或構建。

　　自動化

　　雖然當前市面上有很多開源自動化工具，但其中很少有內置安全功能。與上面的清晰度問題類似，這種自動化可能會掩蓋潛在的易受攻擊的依賴關系，使開發人員能夠在不知不覺中構建具有已知漏洞的項目。

　　因此報告認為，如果開發人員們能夠樹立正確的安全開發習慣，就可以極大的規避開源安全風險。此外，安全業界當前也已經推出了針對許多軟件供應鏈安全管理解決方案，但這些工具并沒有得到廣泛的應用，這也成為了企業和組織在軟件供應鏈安全風險面前無力應對的重要原因。

　　每個開源組件都可能包含漏洞，開發人員必須跟蹤每個應用每年可能發生的數千個更改。因此，錯誤不可避免。對于開發團隊來說，至關重要的是要了解過時、易受攻擊的開源軟件的潛在風險，并考慮采用自動化方法來減輕負擔。

　　應用自動化工具治理軟件供應鏈安全風險迫在眉睫

　　安全419注意到，日前懸鏡安全發布《2022 DevSecOps行業洞察報告》中也提出，2022下半年，開源軟件供應鏈安全熱度將只增不減。懸鏡安全認為，作為業務應用程序的重要組成部分，開源軟件已成為網絡空間的重要基礎設施。開源軟件的大量使用導致軟件 供應鏈越來越復雜化和多樣化，開源軟件已成為影響軟件供應鏈安全的關鍵因素之一。

　　隨著開源組件使用的增加，風險面也在不斷膨脹，使用包含已知安全漏洞的開源組件很有可能將安全缺陷引入到軟件產品中，并隨著軟件的使用而進行擴散，進而對軟件供應鏈造成巨大的安全威脅。

　　在針對開源軟件供應鏈風險治理的自動化工具層面，懸鏡安全在報告中重點推薦了SCA軟件成分分析和SBOM軟件物料清單兩類產品：

　　● SCA在查找通用和流行的庫和組件（尤其是開放源代碼）方面最為有效，不僅可以識別第三方組件的開源安全風險和漏洞，還可以提供每個組件的許可和漏洞信息，更先進的工具能夠自動化開源選擇、批準和跟蹤的整個過程，為開發人員節省寶貴的時間并顯著提高他們的準確性。

　　● SBOM目前也已經成為了安全業界公認的遏制軟件供應鏈風險的最佳方案之一，SBOM 的推廣應用可以增強軟件供應鏈的可見性，極大地便利軟件組件溯源、軟件產品依賴關系梳理、已知漏洞的影響范圍判斷、及時發現惡意軟件滲透等，從而有力支撐軟件供應鏈相關監管政策規則的落地實施。

　　這兩類產品也已成為行業在軟件供應鏈安全方面的主流方案，包括懸鏡安全、酷德啄木鳥、安全玻璃盒等廠商均已打造了相應的成熟方案，推薦了解。

更多信息可以來這里獲取==>>電子技術應用-AET<<