软件供应链漏洞情况分析

关键要点

95 的组织在其软件供应链中至少存在一个高危、关键或灾难性漏洞。平均每个组织有九个关键问题。常见漏洞包括命令注入、日志文件中的敏感数据和跨站脚本。约36的应用程序易受到初始访问攻击，20易受持久性或执行攻击。安全团队面临大量警报，急需自动化工具减少警报数量。

OX Security进行的一项历时九个月的研究显示，95的组织在其软件供应链中都存在至少一个可以被归类为高危、关键或灾难性的数据漏洞，具体报告见DevOps。

这项分析涵盖了超过1亿条警报、数千个代码库和14万个应用程序，并采用了开放软件供应链攻击参考框架。研究发现，每个组织平均存在九个关键问题，其中常见的漏洞类型包括：

漏洞类型百分比命令注入15日志文件中的敏感数据12跨站脚本11

此外，每五个应用程序中就有一个存在运行时暴露问题。研究还发现，约36的应用程序承受初始访问攻击，20的应用程序可能遭遇持久性或执行攻击。最常见的软件供应链攻击技术包括：

免费旋风加速器后门进入代码31过度特权用户账户29命令注入27

OX Security强调，应用程序安全团队面临的警报数量非常庞大，每年平均会产生119000条警报，这些警报分布在129个应用程序中。这突显了自动化工具的必要性，以便能够关联警报并将数量减少超过97。