Sonatype：开源恶意软件激增156%

10月11日，据外媒报道， 指出，随着开源软件（OSS）消费量的飙升，开源恶意软件激增了156%。报告分析了700多万个项目后发现,超过50万个项目含有恶意组件。数据显示，今年是开源消费创纪录的一年，下载量预计达到6.6万亿次。

 

2024年，JavaScript编程语言的软件包管理器Npm的请求量将达到4.5万亿次，同比增长70%。在人工智能和云技术的推动下，Python的软件包管理器PyPI的请求量预计将在2024年底达到5300亿次，同比增长87%。

 

专家表示，问题不仅在于黑客的攻击行为，更在于开源解决方案的发布者和使用者的态度。在追求快速发布新版本和新功能的过程中，安全性常被忽视，因此一些严重漏洞长期得不到修复。例如,即使在Log4Shell组件中发现问题多年后，其约13%的下载量仍然是存在漏洞的版本。

 

相关人士指出，过去的十年中，特别是随着开源恶意软件的兴起，软件供应链攻击的复杂性和频率不断增加，要警惕开放源代码恶意软件，并进行全面的依赖性管理。