ಪೂರೈಕೆ ಸರಪಳಿ ದಾಳಿಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆಯಲ್ಲಿ ಪರಿಣತಿ ಹೊಂದಿರುವ ಸೋನಾಟೈಪ್ ಕಂಪನಿಯು, ಮಾವೆನ್ ಸೆಂಟ್ರಲ್, NPM, PyPl ಮತ್ತು ನುಗೆಟ್ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಆಯೋಜಿಸಲಾದ ಓಪನ್-ಸೋರ್ಸ್ ಜಾವಾ, ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್, ಪೈಥಾನ್ ಮತ್ತು .NET ಯೋಜನೆಗಳಲ್ಲಿನ ಅವಲಂಬನೆ ಮತ್ತು ನಿರ್ವಹಣೆ ಸಮಸ್ಯೆಗಳ ಕುರಿತು ನಡೆಸಿದ ಅಧ್ಯಯನದ ಫಲಿತಾಂಶಗಳನ್ನು (PDF, 62 ಪುಟಗಳು) ಪ್ರಕಟಿಸಿದೆ. ಕಳೆದ ವರ್ಷದಲ್ಲಿ, ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲಾದ ಓಪನ್-ಸೋರ್ಸ್ ಪರಿಸರ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿನ ಯೋಜನೆಗಳ ಸಂಖ್ಯೆ ಸರಾಸರಿ 29% ಹೆಚ್ಚಾಗಿದೆ. 2021 ರಲ್ಲಿ 73% ಹೆಚ್ಚಳಕ್ಕೆ ಹೋಲಿಸಿದರೆ, ಪ್ರಶ್ನಾರ್ಹ ರೆಪೊಸಿಟರಿಗಳಿಂದ ಪ್ಯಾಕೇಜ್ ಡೌನ್ಲೋಡ್ಗಳ ಸಂಖ್ಯೆ 2023 ರಲ್ಲಿ 33% ರಷ್ಟು ಹೆಚ್ಚಾಗಿದೆ.
ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆ ಗಮನಾರ್ಹವಾಗಿ ಹೆಚ್ಚಾಗಿದೆ - ವರ್ಷದ ಆರಂಭದಿಂದ 245 ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳು ಪತ್ತೆಯಾಗಿವೆ ಮತ್ತು ಅವಲಂಬನೆಗಳನ್ನು ಬದಲಾಯಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿರುವ ದಾಖಲಾದ ದಾಳಿಗಳ ಸಂಖ್ಯೆ ದ್ವಿಗುಣಗೊಂಡಿದೆ.
ಅನೇಕ ಯೋಜನೆಗಳು ದುರ್ಬಲ ಆವೃತ್ತಿಗಳನ್ನು ಬಳಸುತ್ತಲೇ ಇವೆ. ಉದಾಹರಣೆಗೆ, Log4j ಜಾವಾ ಪ್ಯಾಕೇಜ್ನ 23% ಡೌನ್ಲೋಡ್ಗಳು ಇನ್ನೂ 2021 ರಲ್ಲಿ ಪರಿಹರಿಸಲಾದ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಗಳನ್ನು ಹೊಂದಿರುವ ಆವೃತ್ತಿಗಳನ್ನು ಒಳಗೊಂಡಿವೆ. ಮಾವೆನ್ ಸೆಂಟ್ರಲ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ, ಸರಿಸುಮಾರು 12% ಎಲ್ಲಾ ಡೌನ್ಲೋಡ್ಗಳು ತಿಳಿದಿರುವ ದುರ್ಬಲತೆಗಳನ್ನು ಹೊಂದಿರುವ ಘಟಕಗಳಿಗೆ. ಸರಾಸರಿ, ಎಲ್ಲಾ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ, ಅಪಾಯಕಾರಿ ಎಂದು ವರ್ಗೀಕರಿಸಲಾದ ಪ್ಯಾಕೇಜ್ಗಳ ಹಳೆಯ ಆವೃತ್ತಿಗಳ ಡೌನ್ಲೋಡ್ಗಳ ಪಾಲು (ಉದಾ., ಪ್ಯಾಚ್ ಮಾಡದ ದುರ್ಬಲತೆಗಳೊಂದಿಗೆ) 20% ಆಗಿದೆ (80% ಪ್ರಕರಣಗಳಲ್ಲಿ, ಪ್ರಸ್ತುತ ಆವೃತ್ತಿಯನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗಿದೆ). 96% ಪ್ರಕರಣಗಳಲ್ಲಿ, ಸಮಸ್ಯೆಯನ್ನು ಈಗಾಗಲೇ ಸರಿಪಡಿಸಲಾದ ಆವೃತ್ತಿಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡುವ ಮೂಲಕ ದುರ್ಬಲ ಘಟಕಗಳ ಡೌನ್ಲೋಡ್ಗಳನ್ನು ತಪ್ಪಿಸಬಹುದಿತ್ತು.
ಭದ್ರತೆಯನ್ನು ಕಾಪಾಡಿಕೊಳ್ಳುವಲ್ಲಿ ಗಮನಾರ್ಹ ಸವಾಲು ಎಂದರೆ ಗುಣಮಟ್ಟದ ಯೋಜನಾ ನಿರ್ವಹಣೆಯ ಕೊರತೆ. ಜಾವಾ ಮತ್ತು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಪರಿಸರ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಇದು ಗಮನಾರ್ಹ ಸಮಸ್ಯೆಯಾಗಿದೆ: ಕಳೆದ ವರ್ಷದಲ್ಲಿ, ಮಾವೆನ್ ಸೆಂಟ್ರಲ್ ಮತ್ತು NPM ಗೆ ಸಲ್ಲಿಸಲ್ಪಟ್ಟ ಮತ್ತು ಹಿಂದಿನ ವರ್ಷದಲ್ಲಿ ನಿರ್ವಹಿಸಲ್ಪಟ್ಟ ಐದು ಯೋಜನೆಗಳಲ್ಲಿ ಒಂದು (18.6%) ನಿರ್ವಹಣೆಯನ್ನು ನಿಲ್ಲಿಸಿದೆ. ಮಾವೆನ್, NPM, PyP1, ಮತ್ತು NuGet ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ವಿಶ್ಲೇಷಿಸಲಾದ 1.176 ಮಿಲಿಯನ್ ಯೋಜನೆಗಳಲ್ಲಿ, ಕೇವಲ 11% (118,000) ಮಾತ್ರ ಸಕ್ರಿಯವಾಗಿ ನಿರ್ವಹಿಸಲ್ಪಡುತ್ತಿದೆ.
ಈ ಅಧ್ಯಯನವು ವಿವಿಧ ಕಂಪನಿಗಳ 621 ವೃತ್ತಿಪರ ಡೆವಲಪರ್ಗಳ ಸಮೀಕ್ಷೆಯನ್ನು ಸಹ ಒಳಗೊಂಡಿದೆ. ಪ್ರತಿಕ್ರಿಯಿಸಿದವರಲ್ಲಿ ಅರವತ್ತೇಳು ಪ್ರತಿಶತ ಜನರು ತಮ್ಮ ಅಪ್ಲಿಕೇಶನ್ಗಳು ದುರ್ಬಲ ಗ್ರಂಥಾಲಯಗಳನ್ನು ಬಳಸುವುದಿಲ್ಲ ಎಂದು ನಂಬುತ್ತಾರೆ, 10% ಜನರು ಕಳೆದ 12 ತಿಂಗಳುಗಳಲ್ಲಿ ಮುಕ್ತ ಮೂಲ ದುರ್ಬಲತೆಗಳಿಂದ ಉಂಟಾದ ಭದ್ರತಾ ಘಟನೆಗಳನ್ನು ಎದುರಿಸಿದ್ದಾರೆ ಮತ್ತು 20% ಜನರು ಖಚಿತವಾಗಿಲ್ಲ. ಇಪ್ಪತ್ತೆಂಟು ಪ್ರತಿಶತ ಕಂಪನಿಗಳು ದುರ್ಬಲತೆಯನ್ನು ಬಹಿರಂಗಪಡಿಸಿದ ಒಂದು ದಿನದೊಳಗೆ ದುರ್ಬಲ ಘಟಕಗಳನ್ನು ಗುರುತಿಸುತ್ತವೆ, 39% ಕಂಪನಿಗಳು ಒಂದರಿಂದ ಏಳು ದಿನಗಳಲ್ಲಿ ಅವುಗಳನ್ನು ಗುರುತಿಸುತ್ತವೆ ಮತ್ತು 29% ಕಂಪನಿಗಳು ಒಂದು ವಾರಕ್ಕಿಂತ ಹೆಚ್ಚು ಒಳಗೆ ಅವುಗಳನ್ನು ಗುರುತಿಸುತ್ತವೆ.
ಮೂಲ: opennet.ru
