共计 699 个字符,预计需要花费 2 分钟才能阅读完成。
平安公司 Mend 在 2022 年前九个月发现并增加到其破绽数据库中的开源破绽数量比 2021 年减少了 33%,这反映了已公布的开源软件包数量的增长。该报告从 2022 年 1 月到 2022 年 9 月对大概 1,000 家北美公司进行了代表性抽样,结果显示已知破绽中只有 13% 失去了修复,而应用古代应用程序平安最佳实际的公司则修复了 40%。
随着开源的流行,70% 到 90% 的应用程序都会应用到开源代码,越来越多的公司发现自己容易受到攻打,因为威逼者会利用破绽被修复之前的窗口期进行攻打。
鉴于平安债权一直减少,找到一种办法来确定危险最高的破绽的优先级免得成为攻打的受害者至关重要。应用能够评估和优先思考对系统影响最大的破绽的补救工具是治理平安债权的一个重要因素。当然,企业不应该只关注严重性细节来确保无效的优先级排序和修复,还须要查看破绽的利用背景和状况。企业每个月修复数千个破绽,大量的破绽修复工作使企业须要抉择更好的古代修复最佳实际来解决检测到的继续一直的新破绽浪潮,以避免破绽积压。随着应用程序成为寰球经济的命根子,定期进行应用程序平安扫描以及应用破绽优先级排序和修复工具至关重要。
令人担忧的是,应用歹意包的攻打也在减少。数据显示,公布的歹意包数量在每季度稳步增长,从 2022 年第二季度到第三季度增长了 79%。 每天至多有 10 个歹意包被公布到包管理器 npm 和 rubygems。 最重要的是,明天更多的包中含有遥测,并且一些当初被内置到供应链中(即无效内容具备蕴含恶意代码的依赖项)。除了恶意软件包的数量有所增加,其复杂性也在逐步晋升。为了当先于攻击者一步,企业须要确保他们正在利用应用程序平安工具,尤其是那些扫描歹意包的工具。
