据 Sonatype 最新研究数据显示,在过去一年中开源组件在英国的下载量飙升了 100% 以上。Sonatype 表示,如今的开发者广泛使用开源组件,估计各个现代应用程序的 80%-90% 都由它们组成。而在 2016 年,开发者从 Central Repository 就已下载超过 520 亿次 Java 组件。
但是,由于手动升级流程和缺乏内置安全控制,许多开发者错过了组件的安全修复。根据 Sonatype 的说法,去年该国软件应用中使用的第三方组件中有一半已经过时,其中 8 个开源组件中就有 1 个包含已知的安全漏洞,同比增长 120 %。
Sonatype 表示,该报告数据来自 The Central Repository、Apache Maven、SBT 和其他包含超过 2.5 M 索引工件的热门存储库。比如说,2017 年英国有约 145000 次易受攻击的 Apache Commons Collections 版本的下载次数,这些版本漏洞已被勒索软件攻击利用。此外,英国开发者还下载了约 68000 个已知加密漏洞的 Bouncy Castle 组件版本和 40000 个易受攻击的 Apache Struts 组件版本。
对于这种现象,有分析人员建议:“与其等待应用被组装起来以后来扫描并识别这些已知漏洞,倒不如通过储存库在下载时就警告开发人员不要下载和使用这些已知易受攻击的组件,甚至直接阻止下载那些已发现严重漏洞的组件版本。”