Relatório revela que 2,1 bilhões de downloads de código aberto com vulnerabilidades conhecidas neste ano poderiam ter sido evitados porque uma versão melhor e corrigida estava disponível
Especialistas em segurança cibernética alertaram para o aumento do risco cibernético em ecossistemas de código aberto, tendo detectado três vezes mais pacotes maliciosos neste ano do que em 2022. O “9º Relatório Anual sobre o Estado da Cadeia de Suprimentos de Software” da Sonatype detectou 245.032 pacotes maliciosos em 2023, o que equivale ao dobro de ataques à cadeia de suprimentos de software do que durante o período 2019-2022.
Compilado a partir da análise de dados proprietários e públicos, incluindo padrões de atualização de dependência para mais de 400 bilhões de downloads do Maven Central, repositório da Sonytape, o relatório também revelou que 2,1 bilhões de downloads de código aberto com vulnerabilidades conhecidas neste ano poderiam ter sido evitados porque uma versão melhor e corrigida estava disponível. Isso equivale a uma fatia de 96% — a mesma de um ano atrás.
A fornecedora detectou ainda que quase um quarto (23%) dos downloads do Log4j ainda são de versões criticamente vulneráveis, apesar de uma correção ter sido lançada para o utilitário há quase dois anos. A Sonatype estima que mais de dois terços (65%) de todos os downloads vulneráveis em 2022 continham uma vulnerabilidade de alta ou gravidade crítica.
A falta de consciência pode ser parcialmente culpada. Dois terços (67%) dos entrevistados em uma pesquisa da fornecedora disseram estar confiantes de que seus aplicativos não dependem de bibliotecas vulneráveis conhecidas. No entanto, quase 10% deles também afirmaram ter sofrido violações de segurança devido a vulnerabilidades de código aberto nos últimos 12 meses. Quase um terço (29%) leva mais de uma semana para descobrir vulnerabilidades e uma parcela ainda maior (36%) dos entrevistados precisa de mais de uma semana para mitigá-las.
A Sonatype argumenta que, embora apenas 11% dos projetos de código aberto sejam “mantidos ativamente” ao longo do tempo, são os desenvolvedores e não os mantenedores de código aberto que precisam estar mais cientes do risco. “Muitos mantenedores são muito diligentes — as grandes empresas de tecnologia fazem de tudo para contratar pessoas talentosas para manter as bibliotecas das quais dependem”, disse Brian Fox, CTO da Sonatype.
“Nossa indústria precisa direcionar seus esforços para o lugar certo. O fato de ter havido uma correção para quase todos os downloads de componentes com uma vulnerabilidade conhecida nos diz que um foco imediato deve ser apoiar os desenvolvedores a se tornarem melhores tomadores de decisão e dar-lhes acesso às ferramentas certas.”
Ele argumenta que os desenvolvedores precisam de ajuda para garantir que baixem componentes apenas de projetos com mais mantenedores e o ecossistema mais saudável de colaboradores – para mitigar riscos e recuperar o esforço desperdiçado.
O relatório revelou que, embora a taxa de crescimento de download de código aberto tenha ficado em 33% nos últimos dois anos, mais de quatro trilhões de componentes serão baixados em 2023. Para acessar o estudo original em inglês, clique aqui.
Fonte:
https://www.cisoadvisor.com.br/ciberataques-a-cadeia-de-suprimentos-triplicam-em-um-ano/