Oprogramowanie typu Open Source Malware wzrosło o 156%

Sonatype ogłosił w czwartek swój 10. coroczny raport o stanie łańcucha dostaw oprogramowania, ujawniając zdumiewający wzrost o 156% złośliwego oprogramowania open source w ciągu ostatniego roku, a także rekordową liczbę 6,6 bilionów pobrania oprogramowania open source.

Uzyskane wyniki podkreślają rosnące ryzyko związane z łańcuchami dostaw oprogramowania, które stają się coraz bardziej narażone na zagrożenia wraz z przyspieszeniem korzystania z oprogramowania open source.

Raport, oparty na danych z ponad 7 milionów projektów open source, zwraca uwagę na znaczny, bo aż 80-procentowy wzrost zapytań o pakiety Pythona oraz 70-procentowy wzrost pobrań JavaScript, co wskazuje na znaczący wzrost konsumpcji oprogramowania.

Jednak ten wzrost jest towarzyszy niepokojący rozkwit złośliwych pakietów, z których od 2019 roku zidentyfikowano 704,102. Co warto zauważyć, kilka krytycznych luk bezpieczeństwa w 2024 roku wymagało ponad 500 dni na naprawę, co ukazuje zaległości, z którymi borykają się utrzymaniowcy.

Konsumencka bierność potęguje ten problem; mimo że 99% pakietów ma dostępne aktualizacje, 80% zależności aplikacji pozostaje nieaktualizowana przez ponad rok. Co alarmujące, gdy zidentyfikowane są podatne składniki, 95% razy, już istnieje naprawiona wersja.

Aby przeciwdziałać tym rosnącym zagrożeniom, Sonatype opowiada się za zwiększeniem inwestycji w projekty open source.

Raport ujawnia, że projekty open source z płatnym wsparciem są prawie trzy razy bardziej skłonne do implementacji kompleksowej polityki bezpieczeństwa. Co więcej, komponenty z płatnym wsparciem likwidują istniejące luki bezpieczeństwa nawet o 45% szybciej i generalnie mają o połowę mniej luk w ogóle.

Raport wskazuje również na pojawiające się regulacje, takie jak Dyrektywa o Sieciach i Systemach Informacyjnych (NIS2) w UE, które promują adopcję Software Bill of Materials (SBOM).

„W ciągu ostatniej dekady obserwowaliśmy wzrost złożoności i częstotliwości ataków na łańcuch dostaw oprogramowania, szczególnie wraz z pojawieniem się otwartoźródłowego malware’u”, powiedział Brian Fox, CTO i współzałożyciel Sonatype.

„Aby zapewnić dynamiczny i bezpieczny ekosystem open source na następną dekadę, musimy stworzyć fundamenty proaktywnej ochrony z czujnością przeciwko otwartoźródłowemu malware’owi, zmniejszeniem zadowolenia konsumentów i kompleksowym zarządzaniem zależnościami”, dodał.

Te wyzwania w łańcuchu dostaw oprogramowania odzwierciedlają szerszy trend w krajobrazie cyberbezpieczeństwa. Nowy raport podkreśla, że 66% profesjonalistów zajmujących się cyberbezpieczeństwem uważa swoją rolę za bardziej stresującą niż pięć lat temu, głównie ze względu na coraz bardziej skomplikowany krajobraz zagrożeń, niskie budżety i niewystarczająco wyszkolony personel.