Selon une nouvelle étude, les cybercriminels tirent parti du fait qu’un nombre croissant d’entreprises s’appuient sur des référentiels de code open source pour développer leurs solutions logicielles.
Au cours des trois dernières années, le nombre de packages compromis, d’attaques de typosquattage sur ces plates-formes et de cyberattaques similaires a explosé – selon un nouveau rapport du fournisseur de services de gestion de la chaîne d’approvisionnement en logiciels, Sonatype.
En utilisant son référentiel Firewall, la société a identifié plus de 55 000 packages malveillants nouvellement publiés, au cours de la seule année dernière, et près de 95 000, au cours des trois dernières années. Cela l’amène à un bond moyen de 700% en 36 mois.
Automatisation de l’analyse
« Presque toutes les entreprises modernes s’appuient sur l’open source. De toute évidence, l’utilisation de référentiels open source comme point d’entrée pour les attaques malveillantes ne montre aucun signe de ralentissement, ce qui rend la détection précoce des vulnérabilités de sécurité connues et inconnues plus importante que jamais », a déclaré Brian Fox, co-fondateur et CTO de Sonatype. .
« L’arrêt des composants malveillants avant qu’ils n’entrent dans la porte est un élément fondamental de la prévention des risques et devrait faire partie de chaque conversation sur la protection des chaînes d’approvisionnement logicielles. »
En combinant l’analyse comportementale et l’application automatisée des politiques, l’entreprise détecte et bloque en permanence les packages malveillants, ainsi que les composants potentiellement vulnérables. De plus, il utilise l’IA pour évaluer chaque composant logiciel open source nouvellement publié, afin de déterminer s’il existe des menaces. Il prétend qu’avec l’augmentation soudaine de l’open-source, l’analyse manuelle est pratiquement impossible.
De plus, peu importe que l’entreprise utilise ou non le composant malveillant dans le produit final. S’il est téléchargé sur leurs terminaux (s’ouvre dans un nouvel onglet)il est déjà trop tard, selon l’entreprise.
« Le volume, la fréquence, la gravité et la sophistication des cyberattaques malveillantes continuent d’augmenter. Les organisations ne peuvent pas et ne doivent pas éviter l’utilisation de l’open source (s’ouvre dans un nouvel onglet) juste pour se protéger », a ajouté Fox. « Mais ils peuvent utiliser des outils préventifs, tels que le pare-feu Sonatype, pour maintenir les développeurs sur la bonne voie et sécuriser les chaînes d’approvisionnement en logiciels. »