در یک گزارش اخیرآ منتشر شده است که رشد فوق العاده 633 درصدی (سال به سال) در حملات سایبری به منابع open source وجود داشته است.

تحقیقات جدید Sonatype نشان می دهد که استفاده گسترده از منابع open source خطرات هدف قرار گرفتن توسط دشمنان سایبری را به همراه دارد.

  • بهترین اکوسیستم های open source دانلود شده جاوا (Maven)، جاوا اسکریپت (npm)، پایتون (PyPI) و دات نت (NuGet) هستند. پیش‌بینی می‌شود که حجم کلی دانلود این چهار اکوسیستم در آینده به بیش از 3 تریلیون دانلود برسد.
  • این گزارش بیان می‌کند که 1.2 میلیارد وابستگی آسیب‌پذیر جاوا همچنان در هر ماه دانلود می‌شود، در حالی که نسخه‌های جدید و وصله‌شده توسط کاربران نادیده گرفته می‌شوند.
  • از هر 7 آسیب‌پذیری پروژه، 6 مورد از وابستگی‌های گذرا ناشی می‌شوند و حدود 96 درصد از دانلودهای open source  آسیب‌پذیر شناخته شده قابل اجتناب هستند.

چشم انداز تهدیدات open source

محبوبیت و رشد منابع open source پیامدهای امنیتی نیز دارد.

  • حملات شناخته شده علیه منابع open source نسبت به سال گذشته 633 درصد افزایش یافته است. علاوه بر این، از سال 2019، افزایش سالانه 742 درصدی در چنین حملاتی وجود داشته است.
  • بهره برداری های اخیر از اکوسیستم های open source، از Log4j  تا سرقت های رمزنگاری مرتبط با منابع open source ، خطرات عمومی امنیت زنجیره تامین نرم افزار را بیشتر برجسته کرده است.
  • علاوه بر این، افزایش حملات سایبری علیه محصولات محبوب سازمانی مانند Apache HTTP Server و سایرین، خطر رو به رشد نرم افزارهای open source در شرکت ها را برجسته می کند.

نکات امنیتی

سازمان هایی که از نرم افزارهای open source استفاده می کنند باید امنیت فرآیند توسعه نرم افزار خود را برای مقابله با خطر احتمالی استفاده از سیستم های قدیمی و آسیب پذیر در اولویت قرار دهند. سازمان ها باید به تنهایی از یک فرآیند ارزیابی و آزمایش دقیق استفاده کنند. علاوه بر این، توسعه دهندگان سیستم های open source باید بهترین شیوه ها را برای امنیت بهتر کدهای خود دنبال کنند.