据Sonatype的最新发现可知，随着开源软件（OSS）消费情况的飙升，开源恶意软件包增长近156%。 该公司的第10份年度软件供应链状况报告指出：自2019年以来，已发现超过704,102个恶意软件包，其中的512,847个是2023年11月以来被发现的。 参考Sonatype的数据，今年是开源软件消费创纪录的一年，估计下载量达到6.6万亿次。 2024年，JavaScript（npm）的请求量达到了惊人的4.5万亿，同比增长了70%。 根据Sonatype的调查结果，在人工智能和云采用的推动下，预计到2024年底，Python（PyPI）将达到5300亿个软件包请求，同比增长87%。 Npm是JavaScript编程语言的软件包管理器，PyPI是Python的软件包管理器。 该公司表示，组织仍在努力有效地降低风险，尽管Sonatype的研究重点是受污染的开源项目的增加，但报告指出，所有开源或商业软件最终都会有演变为漏洞的可能。 尽管超过99%的软件包有可用的更新版本，但80%的应用程序依赖项在一年多内都未升级。 此外，在95%的情况下，当易受攻击的组件被消耗时，固定版本已经存在。 这种风险是持续存在的，在Log4shell暴露三年后，13%的Log4j下载仍然很脆弱。 还有人指出，发布者很难跟上CVE的修复速度，几个漏洞还需要500多天的时间才能修复。 2013年至2023年间，CVE增长了463%。 在报告中，Sonatype呼吁软件制造商、消费者和监管机构采用强有力的安全实践，并表示“创新和安全”之间的平衡，比以往任何时候都更加重要。 Sonatype首席技术官兼联合创始人Brian Fox说：“在过去的十年里，我们看到软件供应链攻击的复杂性和频率增加，特别是随着开源恶意软件的兴起，而出版商和消费者在安全性方面仍然相对停滞不前。为了确保未来十年有一个充满活力和安全的开源生态系统，我们必须建立一个主动的安全基础，对开源恶意软件保持警惕，减少消费者的自满情绪，并进行全面的依赖管理。” 尽管面临挑战，但该公司致力于迎头赶上。 新政策正在出现，包括将于2024年10月17日生效的欧盟网络和信息系统指令（NIS2），以及即将在印度和澳大利亚出台的法规。这些政策鼓励采用软件物料清单（SBOM），去年发布了超过60,000份SBOM。 Sonatype的报告得到了来自700多万个开源项目的数据的支持。     消息来源：Infosecurity-Magazine，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文