安全公司 Mend 在 2022 年前九个月发现并添加到其漏洞数据库中的开源漏洞数量比 2021 年增加了 33%,这反映了已发布的开源软件包数量的增长。该报告从 2022 年 1 月到 2022 年 9 月对大约 1,000 家北美公司进行了代表性抽样,结果显示已知漏洞中只有 13% 得到了修复,而使用现代应用程序安全最佳实践的公司则修复了 40%。
随着开源的盛行,70%到90%的应用程序都会使用到开源代码,越来越多的公司发现自己容易受到攻击,因为威胁者会利用漏洞被修复之前的窗口期进行攻击。
鉴于安全债务不断增加,找到一种方法来确定风险最高的漏洞的优先级以免成为攻击的受害者至关重要。使用可以评估和优先考虑对系统影响最大的漏洞的补救工具是管理安全债务的一个重要因素。当然,企业不应该只关注严重性细节来确保有效的优先级排序和修复,还需要查看漏洞的利用背景和情况。企业每个月修复数千个漏洞,大量的漏洞修复任务使企业需要选择更好的现代修复最佳实践来处理检测到的持续不断的新漏洞浪潮,以防止漏洞积压。随着应用程序成为全球经济的命脉,定期进行应用程序安全扫描以及使用漏洞优先级排序和修复工具至关重要。
令人担忧的是,使用恶意包的攻击也在增加。数据显示,发布的恶意包数量在每季度稳步增长,从 2022 年第二季度到第三季度增长了 79%。每天至少有 10 个恶意包被发布到包管理器 npm 和 rubygems。最重要的是,今天更多的包中含有遥测,并且一些现在被内置到供应链中(即有效内容具有包含恶意代码的依赖项)。除了恶意软件包的数量有所增加,其复杂性也在逐渐提升。为了领先于攻击者一步,企业需要确保他们正在利用应用程序安全工具,尤其是那些扫描恶意包的工具。