2021年开源安装包下载量将超过2.2万亿,开源攻击将增长650%。组件迁移,以及与Java(MavenCentral)、JavaScript(npmjs)、Python(PyPI)和.Net(nuget)生态系统相关的供应、需求和安全趋势。一些亮点如下:开源供应、需求和安全漏洞的供应量都出现了20%的爆炸式增长。目前排名前四的开源生态系统共包含37,451,682个不同版本的组件。在过去的一年里,这些社区共同发布了6,302,733个新版本的组件/包,并启动了723,570个全新项目,以支持全球2700万开发者。开发人员对开源的需求同比增长73%。2021年,全球开发者将从前四大生态中下载超过2.2万亿个开源安装包。但是,尽管下载量在增长,但生产应用程序中使用的可用组件的百分比低得惊人。开源攻击增加了650%。2021年,全球见证了旨在利用上游开源生态系统弱点的软件供应链攻击呈指数级增长。生产应用程序仅利用了6%的可用开源项目。尽管有大量可用的开源项目,但使用集中在数量惊人的流行项目上。流行的开源项目更容易受到攻击。29%的流行项目版本至少包含一个已知的安全漏洞。相比之下,只有6.5%的非流行项目版本这样做,这表明安全研究人员(包括黑帽和白帽)正专注于最常用的项目。据Sonatype称,今年的软件供应链状况报告再次表明,开源既是数字创新的关键燃料,也是软件供应链攻击的成熟目标。虽然开发人员对开源的需求继续呈指数级增长,但研究表明,实际上只有极少数的整体供应得到利用。此外,流行的项目包含不成比例的更多漏洞。这一严峻的现实凸显了工程领导者拥抱智能自动化的重要责任和机遇;这样他们就可以对同类最佳的开源供应商进行标准化,同时帮助开发人员保持第三方库的新鲜度并使用一流的版本进行更新。一些开源项目比其他平均更新时间(MTTU)更快的项目更安全,被发现存在漏洞的可能性要低1.8倍。受欢迎程度并不能很好地预测安全性,流行的开源项目包含漏洞的可能性是其他项目的2.8倍。开发团队之间的依赖关系管理实践差异很大软件开发人员在更新第三方依赖关系时有69%的时间会做出次优选择。较新版本的项目通常更好,但不一定是最好的。商业工程团队只管理他们使用的25%的组件,这使得他们的大部分开源依赖项都已过时,并且容易受到增加的安全风险的影响。自动化每年可为企业节省192,000美元。配备智能自动化,拥有20个应用程序开发团队的中型企业每年将总共节省160个开发人员日。可以查看完整报告。本文转自OSCHINA。本文标题:2021年开源安装包下载量超2.2万亿,开源攻击增650%本文地址:https://www.oschina.net/news/160643/2021-state-of-the-software-supply-chain
