Especialistas em segurança cibernética alertaram para o aumento do risco cibernético em ecossistemas de código aberto, tendo detectado três vezes mais pacotes maliciosos neste ano do que em 2022. O “9º Relatório Anual sobre o Estado da Cadeia de Suprimentos de Software” da Sonatype detectou 245.032 pacotes maliciosos em 2023, o que equivale ao dobro de ataques à cadeia de suprimentos de software do que durante o período 2019-2022.
Compilado a partir da análise de dados proprietários e públicos, incluindo padrões de atualização de dependência para mais de 400 bilhões de downloads do Maven Central, repositório da Sonytape, o relatório também revelou que 2,1 bilhões de downloads de código aberto com vulnerabilidades conhecidas neste ano poderiam ter sido evitados porque uma versão melhor e corrigida estava disponível. Isso equivale a uma fatia de 96% — a mesma de um ano atrás.
A fornecedora detectou ainda que quase um quarto (23%) dos downloads do Log4j ainda são de versões criticamente vulneráveis, apesar de uma correção ter sido lançada para o utilitário há quase dois anos. A Sonatype estima que mais de dois terços (65%) de todos os downloads vulneráveis em 2022 continham uma vulnerabilidade de alta ou gravidade crítica.
A falta de consciência pode ser parcialmente culpada. Dois terços (67%) dos entrevistados em uma pesquisa da fornecedora disseram estar confiantes de que seus aplicativos não dependem de bibliotecas vulneráveis conhecidas. No entanto, quase 10% deles também afirmaram ter sofrido violações de segurança devido a vulnerabilidades de código aberto nos últimos 12 meses. Quase um terço (29%) leva mais de uma semana para descobrir vulnerabilidades e uma parcela ainda maior (36%) dos entrevistados precisa de mais de uma semana para mitigá-las.
A Sonatype argumenta que, embora apenas 11% dos projetos de código aberto sejam “mantidos ativamente” ao longo do tempo, são os desenvolvedores e não os mantenedores de código aberto que precisam estar mais cientes do risco. “Muitos mantenedores são muito diligentes — as grandes empresas de tecnologia fazem de tudo para contratar pessoas talentosas para manter as bibliotecas das quais dependem”, disse Brian Fox, CTO da Sonatype.
Veja isso
Setor bancário é alvo de ataques à cadeia de suprimentos
Grupo Lazarus mira macOS em ataque à cadeia de suprimentos
“Nossa indústria precisa direcionar seus esforços para o lugar certo. O fato de ter havido uma correção para quase todos os downloads de componentes com uma vulnerabilidade conhecida nos diz que um foco imediato deve ser apoiar os desenvolvedores a se tornarem melhores tomadores de decisão e dar-lhes acesso às ferramentas certas.”
Ele argumenta que os desenvolvedores precisam de ajuda para garantir que baixem componentes apenas de projetos com mais mantenedores e o ecossistema mais saudável de colaboradores – para mitigar riscos e recuperar o esforço desperdiçado.
O relatório revelou que, embora a taxa de crescimento de download de código aberto tenha ficado em 33% nos últimos dois anos, mais de quatro trilhões de componentes serão baixados em 2023. Para acessar o estudo original em inglês, clique aqui.
