不均衡的維護(hù)實踐和開發(fā)人員愿意下載高風(fēng)險代碼，使得開源存儲庫成為攻擊者青睞的一種初始訪問策略。

軟件供應(yīng)鏈管理公司Sonatype在其年度軟件供應(yīng)鏈狀況報告中表示：從不同的角度來看，數(shù)據(jù)表明，僅在一年內(nèi)，我們看到的供應(yīng)鏈攻擊事件就是前幾年累積數(shù)量的兩倍，這個增長速度非常驚人，這表明，供應(yīng)鏈?zhǔn)枪粽邎?zhí)行惡意代碼增長最快的媒介之一。此外，我們還看到，利用這些載體的民族國家行為者有所增加。

然而，一個企業(yè)對軟件供應(yīng)鏈的擔(dān)憂不應(yīng)止步于過去12個月檢測到的245032個惡意包，而應(yīng)包括數(shù)百萬個已知存在安全漏洞的包。根據(jù)Sonatype的數(shù)據(jù)，在過去的一年里，每8次開源組件下載中就有一次存在已知的安全風(fēng)險。

需要針對惡意開源程序包采取更多措施

許多開源語言的包庫都是社區(qū)維護(hù)的，這意味著惡意包的報告和刪除是在自愿的基礎(chǔ)上進(jìn)行的，而不是經(jīng)常自動檢測的結(jié)果。在防止現(xiàn)有開發(fā)人員帳戶被劫持并用于推送惡意組件方面有所改進(jìn)-例如引入了強(qiáng)制多因素身份驗證——但這并不能阻止從新帳戶上傳流氓程序包的攻擊。

Sonatype的研究人員表示：“通常，包含惡意代碼的包與具有新安全漏洞的包的處理方式非常相似--它們完全基于志愿者的努力，在漏洞刪除過程之后進(jìn)行刪除，這是不合適的，因為代碼從一開始就被設(shè)計為惡意的。”這種方法可能會導(dǎo)致惡意程序包的運行時間超過必要的時間，從而使開發(fā)人員面臨風(fēng)險。

與前幾年相比，研究人員注意到，更多專業(yè)犯罪團(tuán)伙甚至網(wǎng)絡(luò)間諜企業(yè)采用了這種供應(yīng)鏈攻擊策略。最近的一個例子發(fā)生在8月份，當(dāng)時朝鮮政府資助的黑客企業(yè)之一拉撒路集團(tuán)(Lazarus Group)將惡意程序包VMConnect上傳到了Python組件的公共注冊機(jī)構(gòu)PyPI。該程序包偽裝成合法的VMware模塊，并在安裝到系統(tǒng)上時下載額外的惡意有效負(fù)載。

開發(fā)人員繼續(xù)下載有風(fēng)險的開放源碼包

減輕惡意包和易受攻擊的包帶來的威脅的任務(wù)也應(yīng)該落在包的消費者身上，而不僅僅是存儲庫管理器。不幸的是，數(shù)據(jù)顯示，用戶繼續(xù)以高速率下載高風(fēng)險的包。

根據(jù)Sonatype從其軟件供應(yīng)鏈管理工具以及該公司運行的Java組件Maven存儲庫收集的數(shù)據(jù)，2022年和2023年分別有12%和10%的組件下載是針對存在已知漏洞的版本。其中超過三分之一存在嚴(yán)重漏洞，另有30%存在嚴(yán)重缺陷。更令人擔(dān)憂的是，96%的這些易受攻擊的下載本可以避免，因為使用的組件已經(jīng)更新了沒有漏洞的版本。

Sonatype的研究人員表示：“嚴(yán)重易受攻擊的組件使用量的增加可能是因為這些漏洞主要是在更流行、更廣泛采用的開源軟件中發(fā)現(xiàn)和報告的。”人氣會吸引更多好演員和壞演員的注意，導(dǎo)致出現(xiàn)關(guān)鍵問題的可能性增加。同樣值得注意的是，這些更受歡迎的組件有一個官方的披露流程來進(jìn)行溝通。這意味著，平均而言，這些關(guān)鍵漏洞應(yīng)該是最受關(guān)注的。但是，正如我們在易受攻擊的Log4j版本中所看到的那樣，“知道”只是一半的打擊。企業(yè)必須關(guān)心，他們必須有一種自動化的方法來解決這個問題。

開源維護(hù)質(zhì)量參差不齊，正在下降

組件開發(fā)人員也必須盡自己的一份力，盡快響應(yīng)報告和修補(bǔ)程序缺陷，而這一過程的質(zhì)量在整個生態(tài)系統(tǒng)中差異很大。事實上，Sonatype已經(jīng)看到越來越多的項目不再由創(chuàng)建者維護(hù)。

2020年，開放源代碼安全基金會(OpenSSF)發(fā)布了一個新的項目評分系統(tǒng)，稱為Scorecard，基于它們對安全最佳實踐的采用。根據(jù)數(shù)據(jù)，根據(jù)提交和問題跟蹤活動，Java和JavaScript生態(tài)系統(tǒng)中超過24000個被列為2021年維護(hù)的項目不再符合2022年維護(hù)的條件。

另一個被跟蹤的重要度量稱為“代碼評審”，指的是在將請求提交到項目之前對其進(jìn)行評審的實踐。根據(jù)Sonatype的說法，這是與良好的安全結(jié)果最相關(guān)的做法，但并未被廣泛采用。事實上，在過去的一年里，使用代碼審查的項目數(shù)量總體上減少了15%，如果只計算符合維護(hù)條件的項目，則減少了8%。

Sonatype的研究人員說：“去年18.6%的項目停止維護(hù)的事實突出表明，不僅需要選擇良好的依賴項，還需要監(jiān)控這些依賴項的質(zhì)量變化。”代碼審查率總體較低，即使在考慮剛剛維護(hù)的項目時也是如此，這為開源開發(fā)實踐提供了一個明顯的改進(jìn)領(lǐng)域--特別是考慮到代碼審查在預(yù)測安全狀態(tài)方面的重要性。

“根據(jù)我們的發(fā)現(xiàn)，希望將開源漏洞風(fēng)險降至最低的企業(yè)應(yīng)該選擇維護(hù)良好的項目，執(zhí)行代碼審查并對其進(jìn)行監(jiān)控，以確保它們沒有達(dá)到生命周期的終點。”研究人員總結(jié)道。