2020 年软件供应链状况报告:下一代开源网络攻击增长 430%
Sonatype 发布了《2020 年软件供应链状况》报告指出,旨在积极渗透开源软件供应链的下一代网络攻击大规模激增 430%。
这是 Sonatype 发布的第六份年度软件供应链状况报告,此报告分析了超过 1.5 万亿个开源下载请求,24,000 个开源项目和 5,600 个企业开发团队。报告指出,在过去的 12 个月中,其共记录了 929 次下一代软件供应链攻击。相比之下,2015 年 2 月至 2019 年 6 月之间记录的此类攻击则只有 216 起。
对此,Sonatype 首席执行官 Wayne Jackson 表示,“ 在 2017 年臭名昭著的 Equifax 违规事件发生之后,企业大幅地增加了投资,以防止对开源软件供应链的类似攻击。我们的研究表明,商业工程团队应对新的零日漏洞的能力正在提高。因此,当对手将活动转移到“上游”时,下一代供应链攻击增加了 430% 也就不足为奇了,因为攻击者可以感染单个开源组件,该组件有可能被“下游”分发,并被战略性地、秘密地利用。”
研究发现,企业软件开发团队对开源软件组件中漏洞的响应时间也有所不同。其中,有 51% 的组织需要一周以上的时间来补救新的零日漏洞。此外,报告还指出,高性能的开发团队在检测和修复开放源代码漏洞方面的速度提高了 26 倍,并且部署代码变更的频率也比同行高 15 倍。同时,他们使用自动化软件组成分析(SCA)的可能性要高出 59%,且成功更新依赖关系和修复漏洞而不出现破绽的可能性也要高出近 5 倍。
报告中的一些其他发现包括有:
- 到 2020 年,所有主要开源生态系统的组件下载请求预计将达到 1.5 万亿
- 开发人员下载的 Java OSS 组件中有 10% 存在已知的安全漏洞
- 开发人员构建到其应用程序中的开源组件中,有 11% 存在已知的漏洞,平均发现 38 个漏洞
- 40% 的 npm 软件包包含有已知漏洞的依赖项
- 在公开披露后的三天内,新的开源零日漏洞就已被利用
- ......
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Mozilla 续签 Firefox 与 Google 的搜索交易
据多家外媒报道,Mozilla 与谷歌的搜索交易在期满之际又延长了三年,这将确保谷歌直至 2023 年都仍是 Firefox 浏览器的默认搜索引擎供应商。 Mozilla 最重要的产品是 Firefox,而 Firefox 最具有财务支撑性的业务便来自搜索引擎广告,搜索交易成为 Firefox 收入的大部分来源。这项与谷歌的搜索交易估值在每年4 至 4.5 亿美元。 双方上一次进行交易是在 2017 年,交易年限为三年,即将到期。Mozilla 近日因财务状况欠佳,裁员四分之一,人们转而为这份收入来源担心。 最终,福布斯以及 ZDNet 等多家媒体收到了 Mozilla 发言人的书面声明,证实续签交易: Mozilla 与谷歌的搜索合作伙伴关系正在不断发展,在世界的许多地方,谷歌都是 Firefox 浏览器中的默认搜索提供商。我们最近延续了这份合作伙伴关系,并没有改变。 目前尚不清楚协议的具体内容是否与先前相同,可以肯定的是,搜索交易达成,Mozilla 和 Firefox 的压力都会得到缓解。预计 Mozilla 官方将于今年十一月,随 2019 财报一起,宣布该交易的延续。
- 下一篇
自然语言处理 NLP 发展简史
从语言结构化理论基础,到 1750 亿参数的 GPT-3。一部 NLP 的百年发展史。 语言的结构化 20 世纪初,在瑞士的日内瓦大学,一位名叫费迪南德·德·索绪尔( Ferdinand de Saussure) 的语言学教授发明了一种将语言描述为“系统”的方法。 索绪尔教授认为,意义是在语言内部、语言各部分之间的关系和差异中创造的,“在词里,重要的不是声音本身,而是使这个词区别于其他一切词的声音上的区别,因为带有意义的也正是这些差别。" 他提出,“意义”产生于语言之间的关系和对比,而共享语言系统则使交流成为可能。 索绪尔将社会视为一个“共享”的规范体系,为合理的、可扩展的思想提供了条件,从而导致个人产生不同的决定和行动。 遗憾的是,索绪尔教授的理论还未发表,就于 1913 年去世。而他的两个学生阿尔伯特·薛施霭(Albert Sechehaye)和沙尔·巴利(Charles Bally)意识到了这项研究的重要性,收集了教授生前留下的手稿以及其他同学的笔记,编辑整理出了《通用语言学》一书,并于 1916 年出版。 该书奠定了后来的基础结构主义的方法论,成为现代语言学以及结构主义语言...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Red5直播服务器,属于Java语言的直播服务器
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Hadoop3单机部署,实现最简伪集群
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题