Ataques a repositórios open source sobem 700% em três anos

Estudo identificou mais de 55 mil pacotes recém-publicados como maliciosos em vários repositórios de código aberto no ano passado
Da Redação
21/09/2022

O volume de atividades maliciosas direcionadas a repositórios de código aberto registrou crescimento de três dígitos nos últimos três anos, de acordo com a Sonatype. A fornecedora de sistemas de segurança afirmou, a partir de dados recém-divulgados, ter detectado um aumento de 700% nos ataques destinados a implantar malware em componentes de software, o que pode causar estragos quando esses componentes são usados ​​por equipes de DevOps (desenvolvimento de software).

A Sonatype identificou mais de 55 mil pacotes recém-publicados como maliciosos em vários repositórios de código aberto no ano passado e quase 95 mil nos últimos três anos. “Quase todos os negócios modernos dependem de código aberto. Claramente, o uso de repositórios de código aberto como ponto de entrada para ataques maliciosos não mostra sinais de desaceleração, tornando a detecção precoce de vulnerabilidades de segurança conhecidas e desconhecidas mais importante do que nunca”, disse Brian Fox, cofundador e CTO da Sonatype .

“Parar componentes maliciosos antes que cheguem é um elemento fundamental da prevenção de riscos e deve fazer parte de todas as conversas sobre a proteção de cadeias de suprimentos de software”, completou Fox.

A Sonatype disse que a prevenção a esse tipo de ataque é o único caminho a seguir, porque se um componente malicioso for baixado em uma máquina de desenvolvimento — mesmo que não seja usado em um produto acabado — o dano já pode ter sido feito. A escala do desafio também é grande demais para a prevenção manual de ameaças, acrescentou a fornecedora.

Veja isso
Cerca de 278 mil repositórios GitHub são afetados por falha crítica de rede
OpenSSF já achou 200 falhas em repositórios open source

De fato, de acordo com o relatório State of the Software Supply Chain da Sonatype de 2021, estima-se que os desenvolvedores globais tenham emprestado mais de 2,2 trilhões de pacotes ou componentes de código aberto de ecossistemas de terceiros no ano passado para acelerar o tempo de lançamento no mercado.

A história coincide com um relatório da Linux Foundation no início deste ano, que afirmou que mais de dois quintos (41%) das organizações não confiam em sua segurança de código aberto, e apenas metade (49%) afirma ter uma política cobrindo o uso de código aberto.

O estudo também revelou que o projeto médio de desenvolvimento de aplicativos contém 49 vulnerabilidades abrangendo 80 dependências diretas, enquanto 40% de todos os bugs estavam presentes em dependências indiretas mais difíceis de encontrar.

Compartilhar:

Últimas Notícias