В 2020 году из-за COVID-19 произошел огромный сдвиг в сторону ведения бизнеса в Интернете, и кибер-преступники воспользовались этой возможностью, чтобы усилить свои атаки как по частоте, так и по размаху.
Количество жалоб на кибер-атаки в их кибер-отдел достигает до 4000 в день. Это на 400% больше, чем до корона-вируса.
Особую тревогу вызывают кибер-атаки следующего поколения, нацеленные на активное проникновение в цепочки поставок программного обеспечения с открытым исходным кодом, количество которых увеличилось на 430% с прошлого года, согласно отчету о состоянии цепочки поставок программного обеспечения за 2020 год, опубликованному в августе.
«Злоумышленники всегда ищут путь наименьшего сопротивления. Поэтому я думаю, что они обнаружили слабость и усиливающий эффект в преследовании проектов с открытым исходным кодом и разработчиков с открытым исходным кодом », - сказал Брайан Фокс, технический директор Sonatype. «Если вы каким-то образом можете найти способ скомпрометировать или обманом заставить людей использовать взломанную версию очень популярного проекта, вы сразу же усилили свою базу. Еще не до конца понятно, особенно в области безопасности, что это новая проблема ».
Однако правильный инструментарий, такой как использование решений анализа состава программного обеспечения (SCA), может решить некоторые из этих проблем. SCA - это процесс автоматизации прозрачности программного обеспечения с открытым исходным кодом с целью управления рисками, обеспечения безопасности и соблюдения лицензионных требований.
Чтобы улучшить безопасность с открытым исходным кодом, Linux Foundation в августе запустила новую инициативу под названием OpenSSF. OpenSSF стремится к сотрудничеству и работает как в восходящем направлении, так и с существующими сообществами для продвижения безопасности с открытым исходным кодом для всех, поскольку программное обеспечение с открытым исходным кодом становится все более распространенным в центрах обработки данных, потребительских устройствах и сервисах.
Концепция DevSecOps, в которой инструменты безопасности используются раньше в рабочем процессе разработки, в IDE разработчиков, а также в их системах управления кодом и инструментах сборки, стала более важной.
Для дальнейшего развития DevSecOps в октябре GitHub запустил новую функцию сканирования кода, которая сканирует код по мере его создания и предоставляет обзоры в запросах на вытягивание и других возможностях GitHub. Вскоре после этого IBM выпустила свой анализатор рисков кода, который можно настроить для запуска в начале конвейера кода разработчика, и он просматривает и анализирует репозитории Git на предмет известных проблем с любым открытым исходным кодом, которым необходимо управлять.
Несмотря на появление новых инструментов, отчет, опубликованный в октябре WhiteSource, показал, что 73% разработчиков жертвуют безопасностью ради скорости.
