Il Malware Open Source Aumenta del 156%

Sonatype ha annunciato giovedì il suo 10° Rapporto Annuale sullo Stato della Catena di Fornitura del Software, rivelando un sorprendente aumento del 156% di malware open source nell’ultimo anno, insieme a un record di 6.6 trilioni di download di software open source.

I risultati evidenziano i crescenti rischi associati alle catene di fornitura del software, che stanno diventando sempre più vulnerabili con l’accelerazione del consumo di open source.

Il rapporto, basato su dati provenienti da oltre 7 milioni di progetti open source, evidenzia un notevole aumento dell’80% nelle richieste di pacchetti Python e un incremento del 70% nei download di JavaScript, indicando un significativo aumento nel consumo di software.

Tuttavia, questo aumento è accompagnato da una preoccupante proliferazione di pacchetti malevoli, con 704.102 identificati dal 2019. È degno di nota che diverse vulnerabilità critiche hanno richiesto più di 500 giorni per essere risolte nel 2024, rivelando l’arretrato che i manutentori devono affrontare.

La compiacenza dei consumatori aggrava questo problema; nonostante il 99% dei pacchetti abbia versioni aggiornate disponibili, l’80% delle dipendenze delle applicazioni rimane non aggiornato per oltre un anno. Allarmantemente, quando vengono identificati componenti vulnerabili, il 95% delle volte, esiste già una versione corretta.

Per combattere queste minacce in crescita, Sonatype sostiene un aumento degli investimenti nei progetti open source.

Il rapporto rivela che i progetti open source con supporto a pagamento hanno quasi tre volte più probabilità di avere politiche di sicurezza complete. Inoltre, i componenti con supporto a pagamento risolvono le vulnerabilità in sospeso fino al 45% più velocemente e generalmente hanno la metà delle vulnerabilità complessive.

Il rapporto evidenzia anche l’emergere di nuove regolamentazioni, come la Direttiva sui Sistemi di Rete e Informazione (NIS2) nell’UE, che promuovono l’adozione del Software Bill of Materials (SBOM).

“Nell’ultimo decennio, abbiamo assistito ad un aumento della sofisticazione e della frequenza degli attacchi alla catena di fornitura del software, in particolare con l’ascesa del malware open source,” ha detto Brian Fox, CTO e Co-Fondatore di Sonatype.

“Per garantire un ecosistema open source vibrante e sicuro per il prossimo decennio, dobbiamo costruire una base di sicurezza proattiva con vigilanza contro il malware open source, una riduzione della compiacenza dei consumatori e una gestione completa delle dipendenze,” ha aggiunto.

Queste sfide nella catena di approvvigionamento del software riflettono una tendenza più ampia nel panorama della cybersecurity. Un nuovo rapporto evidenzia che il 66% dei professionisti della cybersecurity trova il proprio ruolo più stressante rispetto a cinque anni fa, principalmente a causa di un panorama di minacce sempre più complesso, budget limitati e personale insufficientemente formato.