近日,Sonatype发布了最新的《2021年软件供应链状况报告》。报告数据显示,开源供给、需求、安全漏洞均呈现“爆发式”增长,其中开源供给增长20%,开源需求增长73%,开源攻击也猛增650%。与此同时,开源安全和依赖管理主导着“软件供应链2021”。这份报告,通过100,000个生产应用程序、400万个开发人员迁移的组件,以及相关的Java(MavenCentral)、JavaScript(npmjs)、Python(PyPI)和.Net(nuget)生态系统的供应、需求和安全趋势进行了研究,导致下面的一些亮点。开源供给、需求、安全漏洞均呈现“爆发式”增长据Sonatype报告,在过去的一年里,开源供给、开源需求、开源安全漏洞的数据均呈现“爆发式”增长。具体如下:(1)开源供应量增加20%。过去一年,四大开源生态共发布组件/包新版本6,302,733个,上线全新项目723,570个,涉及全球2700万开发者。截至目前,四大开源生态的组件/包总数已达37,451,682个。(2)开源需求增长73%。2021年,全球开发者将从四大生态下载超过2.2万亿个开源软件包,较上年大幅增长。(3)随着开源下载量的增加,开源攻击也增加了650%。2021年,全球见证了旨在利用上游开源生态系统弱点的软件供应链攻击呈指数级增长。(4)生产应用程序仅利用了6%的可用开源项目。尽管有大量可用的开源项目,但当前的使用仅集中在少数几个流行的项目上。(5)流行的开源项目更容易受到攻击。数据显示,29%的热门项目版本目前至少包含一个已知的安全漏洞;相反,只有6.5%的非热门项目版本这样做。该数据表明安全研究人员(黑帽和白帽)更关注使用率高的项目。按生态系统划分的开源漏洞密度Sonatype发布的这项研究表明,虽然开发人员对开源的需求继续呈指数增长,但实际使用的开源总量仍然很少。目前热门项目中,包含漏洞的项目数量远超正常比例。根据Sonatype的说法,这一事实凸显了现阶段项目负责人的重要责任和机会——拥抱智能自动化,这使他们能够在同类最佳开源供应商上实现标准化,同时帮助开发人员维护第三方库和最佳更新版本。更新迭代快、知名度低的开源项目更安全根据Sonatype报告数据,与其他一些项目相比,平均更新时间(MTTU)更快的开源项目被发现存在漏洞的可能性要低1.8倍,所以这样的项目将更加安全。此外,项目的受欢迎程度并不能很好地预测项目的安全性。一般来说,比较流行的开源项目包含漏洞的可能性是普通项目的2.8倍。开发团队之间的依赖关系管理实践差异很大数据显示,开源软件供应链中的软件开发人员在更新第三方依赖关系时,有69%的时间会做出次优选择。一般来说,项目的新版本更好,但并不总是最好的。由于商业工程团队只管理他们使用的25%的组件,这使得他们的大部分开源依赖项都已过时,并且容易受到更大的安全风险的影响。Sonatype报告称,自动化每年可为开发团队节省192,000美元。一家拥有20个应用程序开发团队的中型公司每年可以通过智能自动化系统为公司节省160个开发日。软件供应链管理实践:感知与现实Sonatype研究还表明,开发团队缺乏结构化指导,在软件供应链管理方面经常做出次优决策。总的来说,人们认为他们在修复有缺陷的部件方面做得很好,并表示他们了解风险。但实际上,主观调查反应与客观数据之间存在脱节。对于当前软件供应链领域面临的一些问题,Sonatype在评论中表示,苹果、高盛、亚马逊等表现较好的公司,以及最近的Zoom、Peloton、Wayfair等公司,掌握了三个关键竞争优势(1)知道如何大规模使用开源和第三方创新(2)将安全和风险控制集成到软件供应链的多个阶段(3)比竞争对手更快地发布更高质量的代码在过去的20年里,人们的生活和工作方式、商业实体和数字供应链的运作方式发生了根本性的变化。在数字创新驱动经济发展的今天,如果企业开发者想要避免利用软件供应链带来的网络攻击,或者想要对软件供应链管理带来一些创新,这份Sonatype报告或许能带来一些启发。Sonatype报告完整版:https://www.sonatype.com/reso...参考链接:https://blog.sonatype.com/202...
