“开源供应增加了20%,开源需求增加了73%,开源攻击增加了650%。”
“只有6%的可用开源项目被使用。”
“越受欢迎的开源项目越容易受到攻击。”
“平均更新时间(MTTU)更快的项目更安全。”
“自动化每年能为企业节省19.2万美元和160个开发日的时间。”
以上是Sonatype经过研究调查得出的结论。Sonatype是一个软件组合分析(SCA)平台,公司通过它来分析公共和私有代码库,并评估它们的安全性和依赖性缺陷。
在一年的时间里,Sonatype研究了包括10万个生产应用程序和400万个组件迁移,以及与Java (Maven Central)、JavaScript (npmjs)、Python (PyPI)和.Net (nuget)生态系统相关的运营供应、需求和安全趋势,以下是Sonatype发布的2021年软件供应链状况报告。
一、开源供应、需求和安全漏洞都出现了爆炸性增长
开源供应增加20%。前四大开源生态系统现在包含37,451,682个不同版本的组件。
开源需求增长了73%。到2021年,世界各地的开发者从前四大生态系统下载了超过2.2万亿的开源软件包。
开源攻击增加了650%。2021年,针对开源生态系统弱点的软件供应链攻击呈指数级增长。
只有6%的可用开源项目被使用,利用率不高。尽管有大量的开源项目可用,但使用率却集中在少数受欢迎的项目中。
越受欢迎的开源项目越容易受到攻击。Sonatype的最新报告还发现,安全漏洞普遍存在于受欢迎的项目中。在四个开源生态系统(Java、JavaScript、Python和.NET)中排名前10%的项目里,其中29%的项目都至少包含一个已知的安全漏洞。在其余90%的“不受欢迎”项目中,只有6.5%的项目包含至少一个已知漏洞。
虽然开发人员对开源的需求继续呈指数级增长,但研究表明,从总体供应上来看,被实际使用的很少。此外,受欢迎的项目包含不成比例的漏洞。这一严酷的现实强调了工程领导人的责任和机遇,他们应该拥抱智能自动化,这样他们就可以使开源供应商标准化,同时帮助开发人员保持第三方代码库和最优版本的更新。
二、有些开源项目明显比其他项目好
平均更新时间(MTTU)更快的项目更安全。研究发现,这些项目出现漏洞的可能性要低1.8倍。
受欢迎程度并不代表有很好的安全性。流行的开源项目存在漏洞的可能性是普通项目的2.8倍。
三、开发团队之间的依赖性管理实践差异很大
软件开发人员在升级第三方依赖性时,有69%的可能性会做出次优选择。新版本的项目通常更好,但并不总是最好的。
商业工程团队只管理他们所使用的25%的组件,使得大多数开源依赖关系过时,容易受到安全风险的影响。
自动化每年能为企业节省19.2万美元。如果配备了智能自动化系统,一家拥有20个应用程序开发团队的中型企业每年将节省160个开发日的时间。
四、软件供应链管理实践:理想与现实
主观调查反馈和客观数据之间存在脱节。人们相信他们很好地修复了有缺陷的部件,并表明他们了解风险所在。客观来说,研究表明,许多开发团队缺乏结构化的指导,经常做出关于软件供应链管理的次优决策。
扫码二维码 获取免费视频学习资料
- 本文固定链接: http://phpxs.com/post/8589/
- 转载请注明:转载必须在正文中标注并保留原文链接
- 扫码: 扫上方二维码获取免费视频资料