يرتفع البرمجيات الخبيثة المفتوحة المصدر بنسبة 156%

أعلنت Sonatype يوم الخميس عن تقريرها السنوي العاشر عن حالة سلسلة التوريد للبرمجيات، والذي كشف عن زيادة صادمة بنسبة 156% في البرمجيات الخبيثة المفتوحة المصدر في العام الماضي، بجانب تحميل سجل قياسي يصل إلى 6.6 تريليون مرة للبرمجيات المفتوحة المصدر.

تبرز النتائج المخاطر المتزايدة المرتبطة بسلاسل التوريد للبرمجيات، التي تصبح أكثر ضعفًا مع تسارع استهلاك المصدر المفتوح.

التقرير، الذي يستند إلى بيانات من أكثر من 7 ملايين مشروع مفتوح المصدر، يسلط الضوء على زيادة ملحوظة بنسبة 80% في طلبات حزمة Python وزيادة بنسبة 70% في تنزيلات JavaScript، مما يشير إلى ارتفاع كبير في استهلاك البرامج.

ومع ذلك، يرافق هذا الارتفاع انتشار مقلق للحزم الخبيثة، حيث تم التعرف على 704,102 منذ العام 2019. بشكل بارز، استغرقت عدة ثغرات أمنية حرجة أكثر من 500 يوم للإصلاح في عام 2024، مما يكشف عن التأخير الذي يواجهه المحافظون عليها.

تعمق الرضا الاستهلاكي هذه المشكلة؛ رغم أن 99% من الحزم لديها إصدارات محدثة متاحة، إلا أن 80% من الاعتمادات التطبيقية تظل غير محدثة لأكثر من عام. ما يثير القلق، عندما يتم التعرف على مكونات ضعيفة، 95% من الوقت، يكون هناك إصدار مصلح موجود بالفعل.

لمكافحة هذه التهديدات المتزايدة، تدعو Sonatype لزيادة الاستثمار في المشاريع المفتوحة المصدر.

تكشف التقرير أن المشاريع المفتوحة المصدر التي تتمتع بدعم مدفوع تكون أكثر احتمالية بثلاث مرات لوجود سياسات أمنية شاملة في المكان. علاوة على ذلك، تتم معالجة الثغرات الأمنية المعلقة في المكونات التي تتمتع بدعم مدفوع بسرعة تصل إلى 45٪ أسرع وعادة ما يكون لديها نصف الثغرات الأمنية بشكل عام.

يشير التقرير أيضا إلى اللوائح الناشئة، مثل توجيه الشبكات والنظم المعلوماتية (NIS2) في الاتحاد الأوروبي، التي تشجع على تبني فاتورة برامج المواد (SBOM).

“خلال العقد الأخير، شهدنا زيادة في تعقيد وتكرار هجمات سلسلة الإمدادات البرمجية، خاصة مع ظهور البرامج الضارة المفتوحة المصدر”، قال برايان فوكس، المدير التقني والمؤسس المشارك في Sonatype.

“من أجل ضمان نظام بيئي مفتوح المصدر حيوي وآمن للعقد القادم، يجب أن نبني أساساً للأمن الاستباقي مع اليقظة ضد البرامج الضارة المفتوحة المصدر، وتقليل الرضا الزائد للمستهلكين، وإدارة الاعتماد الشاملة”، أضاف.

تعكس هذه التحديات في سلسلة التوريد للبرامج اتجاهًا أوسع في مشهد الأمن السيبراني. يسلط تقرير جديد الضوء على أن 66% من محترفي الأمن السيبراني يجدون أدوارهم أكثر إجهادا مما كانت عليه قبل خمس سنوات، وذلك بسبب تعقيد المشهد التهديدي بشكل متزايد، والميزانيات المنخفضة، وقلة التدريب الكافي للموظفين.