Especialistas em segurança alertam para o aumento de ataques direcionados a componentes de código aberto diretamente para infectar secretamente os principais softwares de supply chain. De acordo com o relatório anual State of the Software Supply Chain, da Sonatype, foram registrados 929 ataques entre julho de 2019 e maio deste ano, o que representa um aumento de 430% ano sobre ano.
O estudo foi compilado a partir da análise de 24 mil projetos de supply chain de código aberto e 15 mil empresas de desenvolvimento, juntamente com entrevistas com 5.600 desenvolvedores de software.
A segmentação de componentes de código aberto por agentes mal-intencionados é preocupante por causa de sua popularidade entre as equipes de DevOps para acelerar o tempo de colocação no mercado, diz o estudo. Segundo o relatório, 1,5 trilhão de solicitações de download de componentes são projetadas neste ano em todos os principais ecossistemas de código aberto.
Veja isso
Cadeia de fornecedores precisa de proteção
Estudo mostra como gerenciar o risco dos fornecedores
Acredita-se que os repositórios Node.js (npm) e Python (PyPI) estejam entre os mais visados por invasores, pois o código malicioso pode ser facilmente acionado durante a instalação do pacote. Esse tipo de ataque à software de cadeia de suprimentos é possível porque no mundo do código aberto é mais difícil discriminar entre os bons e os maus atores e devido à natureza interconectada dos projetos, afirma a Sonatype.
No último ponto do relatório observa-se que os projetos de código aberto podem ter centenas ou milhares de dependências em outros projetos que podem conter vulnerabilidades conhecidas que podem ser exploradas. Em 2019, mais de 10% dos downloads globais do Java OSS tinham pelo menos uma vulnerabilidade de código aberto, com novas falhas sendo exploradas em três dias após a divulgação pública, afirmou o relatório.
Hoje, 90% dos componentes de um aplicativo são de código aberto e 11% deles são conhecidos por conter vulnerabilidades. O CEO da Sonatype, Wayne Jackson, fez uma distinção entre ataques upstream de “próxima geração” e ataques à software de supply chain “legado”, nos quais os invasores buscam vulnerabilidades em produtos assim que são divulgadas, antes que as organizações tenham tempo para remediar.
Portanto, ele diz que não é surpresa que os ataques da próxima geração à software de supply chain aumentaram 430%, à medida que os hackers estão mudando suas atividades ‘upstream’, em que podem infectar um único componente de código aberto que tem o potencial de ser distribuído ‘downstream” onde pode ser explorado estratégica e secretamente.
.
