國外安全公司Sonatype 發(fā)布的一份報告顯示，開源供需動態(tài)持續(xù)強勁增長。此外，關(guān)于開源安全風(fēng)險，報告揭示了針對上游公共存儲庫的供應(yīng)鏈攻擊同比增長 650% ，以及與流行和非流行項目版本中存在的已知漏洞級別有關(guān)的迷人二分法。

　　根據(jù)從 702 名軟件工程專業(yè)人士收集的調(diào)查回復(fù)，研究觀察到人們對軟件鏈管理實踐的主觀信念與 100,000 個應(yīng)用程序測量的客觀結(jié)果之間存在根本性脫節(jié)。

　　報告分析了與 Java （Maven Central）、JavaScript （npmjs）、Python （PyPI） 和 .Net （nuget） 生態(tài)系統(tǒng)相關(guān)的運營供應(yīng)、需求和安全趨勢。此外，研究人員還研究了從開發(fā)人員在過去 12 個月內(nèi)進(jìn)行的 100,000 個生產(chǎn)應(yīng)用程序和 4,000,000 個組件遷移中收集的軟件工程實踐。

　　開源供應(yīng)、需求和安全動態(tài)

　　供應(yīng)量增加了 20%。排名前四的開源生態(tài)系統(tǒng)現(xiàn)在包含總共 37,451,682 個不同版本的組件。

　　需求增加了 73%。2021 年，全球開發(fā)者將從前四大生態(tài)系統(tǒng)下載超過 2.2 萬億個開源包。

　　攻擊增加了650%。2021 年，世界目睹了旨在利用上游開源生態(tài)系統(tǒng)弱點的軟件供應(yīng)鏈攻擊呈指數(shù)級增長。

　　生產(chǎn)應(yīng)用程序僅使用 6% 的可用項目。盡管有大量可用的開源項目，但利用率卻集中在數(shù)量驚人的熱門項目上。

　　熱門項目更容易受到攻擊。29% 的流行項目版本至少包含一個已知的安全漏洞。相反，只有 6.5% 的非流行項目版本這樣做，這表明安全研究人員專注于最常用的項目。

　　確定最佳開源項目的經(jīng)驗指標(biāo)

　　具有更快平均更新時間 （MTTU） 的項目更安全。發(fā)現(xiàn)它們具有漏洞的可能性要低 1.8 倍。

　　受歡迎程度并不是安全性的良好預(yù)測指標(biāo)。流行的開源項目包含漏洞的可能性是其他項目的 2.8 倍。

　　開發(fā)團(tuán)隊之間的依賴管理實踐差異很大

　　在更新第三方依賴項時，軟件開發(fā)人員有 69% 的時間會做出次優(yōu)選擇。較新版本的項目通常更好，但并不總是最好的。

　　商業(yè)工程團(tuán)隊只管理他們使用的 25% 的組件，使得大部分開源依賴項過時并且容易受到增加的安全風(fēng)險的影響。

　　自動化每年可為組織節(jié)省 192,000 美元。配備智能自動化，一個擁有 20 個應(yīng)用開發(fā)團(tuán)隊的中型企業(yè)每年將節(jié)省 160 個開發(fā)人員日。

　　軟件供應(yīng)鏈管理實踐：認(rèn)知與現(xiàn)實

　　主觀調(diào)查反饋和客觀數(shù)據(jù)之間存在脫節(jié)。人們相信他們在修復(fù)有缺陷的組件方面做得很好，并表示他們了解風(fēng)險所在。客觀上，研究表明開發(fā)團(tuán)隊缺乏結(jié)構(gòu)化的指導(dǎo)，并且經(jīng)常在軟件供應(yīng)鏈管理方面做出次優(yōu)決策。

　　Sonatype執(zhí)行副總裁馬特霍華德說：“今年的軟件供應(yīng)鏈狀況報告再次表明，開源如何既是數(shù)字創(chuàng)新的關(guān)鍵燃料，又是軟件供應(yīng)鏈攻擊的成熟目標(biāo)。雖然開發(fā)人員對開源的需求繼續(xù)呈指數(shù)級增長，但我們的研究首次表明，實際使用的總體供應(yīng)量很少。此外，我們現(xiàn)在知道流行的項目包含不成比例的更多漏洞。這一嚴(yán)峻的現(xiàn)實凸顯了工程領(lǐng)導(dǎo)者接受智能自動化的關(guān)鍵責(zé)任和機會，以便他們能夠標(biāo)準(zhǔn)化最佳開源供應(yīng)商，同時幫助開發(fā)人員保持第三方庫的最新和最新的最佳版本?！?/p>