Sonatype：市面上 1/8 的開源組件存在已知漏洞，相關(guān)項(xiàng)目維護(hù)積極性正逐步減少

IT之家 10 月 6 日消息，軟件提供商 Sonatype 日前發(fā)布了《2023 年軟件供應(yīng)鏈狀況》報(bào)告，號(hào)稱“深入探討了如何在充滿選擇的世界中定義更好的軟件，并探究了 AI 對(duì)軟件開發(fā)的深遠(yuǎn)影響，還研究了開源供應(yīng)、需求和安全之間錯(cuò)綜復(fù)雜的相互作用，闡明了監(jiān)管部門應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而采取的措施”等內(nèi)容。

IT之家從 Sonatype 報(bào)告中得知，其認(rèn)為“開源項(xiàng)目在近年來經(jīng)歷了顯著的增長，表明了正在進(jìn)行的業(yè)界創(chuàng)新浪潮”。

據(jù)悉，報(bào)告跟蹤了 Java（Maven）、JavaScript（npm）、Python（PyPI）、.NET（NuGet Gallery）四大開源生態(tài)系統(tǒng)的開源應(yīng)用增長情況，2022 年至 2023 年間，開源項(xiàng)目的數(shù)量平均增長了 29%。

2023 年，開源項(xiàng)目平均發(fā)布了 15 個(gè)可供使用的版本，不同開源注冊(cè)中心的特定生態(tài)系統(tǒng)平均有 10 到 22 個(gè)版本。這意味著每個(gè)月都會(huì)發(fā)布 1-2 個(gè)新版本，在觀察到的生態(tài)系統(tǒng)中總共發(fā)布了 6000 萬個(gè)新版本。

不過 Sonatype 同時(shí)指出，雖然開源項(xiàng)目在逐步增加，但用戶群體數(shù)量“并沒有跟上步伐”，2023 年，開源項(xiàng)目用戶的平均增長率為 33%，相對(duì)于 2021 年的 73% 大幅下降。

而在安全方面，該軟件提供商認(rèn)為，開源項(xiàng)目的安全問題并沒有“放緩的跡象”。截至 2023 年 9 月，研究團(tuán)隊(duì)共發(fā)現(xiàn)了 245032 個(gè)惡意軟件包，是往年總和的 2 倍。1/8 的開源下載存在已知風(fēng)險(xiǎn)，且仍有 23% 的 Log4j 下載存在嚴(yán)重漏洞。

在開源項(xiàng)目的維護(hù)方面，Sonatype 認(rèn)為，相關(guān)開源項(xiàng)目的“維護(hù)參與度”變得越來越少。去年有近五分之一（18.6%）的項(xiàng)目停止維護(hù)，影響了 Java 和 JavaScript 生態(tài)系統(tǒng)。只有 11% 的開源項(xiàng)目實(shí)際上得到了積極維護(hù)。盡管存在這些缺陷，但該軟件公司仍然表示，近 96% 存在已知漏洞的組件下載可以通過選擇“無漏洞版本”來避免。

而在軟件供應(yīng)鏈成熟度方面，當(dāng)下軟件物料清單的需求正在上升，而相關(guān)軟件的“安全優(yōu)勢”愈發(fā)突出。不過考慮到軟件供應(yīng)商自我報(bào)告的成熟度水平，與第三方評(píng)估的軟件成熟度水平存在顯著差距，Sonatype 認(rèn)為，需要以中立第三方的方式對(duì)各軟件供應(yīng)鏈成熟度進(jìn)行評(píng)估。

在 AI 方面，97% 的受訪 DevOps 和 SecOps 領(lǐng)導(dǎo)者表示，他們目前在工作流程中某種程度上使用了人工智能，大多數(shù)人每天使用兩個(gè)或更多工具。去年，企業(yè)環(huán)境中 AI 和 ML 組件的采用率增加了 135%。

參考

• Introducing our 9th annual State of the Software Supply Chain report — Sonatype

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。