國外安全公司Sonatype 發(fā)布的一份報告顯示，開源供需動態(tài)持續(xù)強勁增長。此外，關于開源安全風險，報告揭示了針對上游公共存儲庫的供應鏈攻擊同比增長 650% ，以及與流行和非流行項目版本中存在的已知漏洞級別有關的迷人二分法。

　　根據(jù)從 702 名軟件工程專業(yè)人士收集的調查回復，研究觀察到人們對軟件鏈管理實踐的主觀信念與 100,000 個應用程序測量的客觀結果之間存在根本性脫節(jié)。

　　報告分析了與 Java （Maven Central）、JavaScript （npmjs）、Python （PyPI） 和 .Net （nuget） 生態(tài)系統(tǒng)相關的運營供應、需求和安全趨勢。此外，研究人員還研究了從開發(fā)人員在過去 12 個月內進行的 100,000 個生產(chǎn)應用程序和 4,000,000 個組件遷移中收集的軟件工程實踐。

　　開源供應、需求和安全動態(tài)

　　供應量增加了 20%。排名前四的開源生態(tài)系統(tǒng)現(xiàn)在包含總共 37,451,682 個不同版本的組件。

　　需求增加了 73%。2021 年，全球開發(fā)者將從前四大生態(tài)系統(tǒng)下載超過 2.2 萬億個開源包。

　　攻擊增加了650%。2021 年，世界目睹了旨在利用上游開源生態(tài)系統(tǒng)弱點的軟件供應鏈攻擊呈指數(shù)級增長。

　　生產(chǎn)應用程序僅使用 6% 的可用項目。盡管有大量可用的開源項目，但利用率卻集中在數(shù)量驚人的熱門項目上。

　　熱門項目更容易受到攻擊。29% 的流行項目版本至少包含一個已知的安全漏洞。相反，只有 6.5% 的非流行項目版本這樣做，這表明安全研究人員專注于最常用的項目。

　　確定最佳開源項目的經(jīng)驗指標

　　具有更快平均更新時間 （MTTU） 的項目更安全。發(fā)現(xiàn)它們具有漏洞的可能性要低 1.8 倍。

　　受歡迎程度并不是安全性的良好預測指標。流行的開源項目包含漏洞的可能性是其他項目的 2.8 倍。

　　開發(fā)團隊之間的依賴管理實踐差異很大

　　在更新第三方依賴項時，軟件開發(fā)人員有 69% 的時間會做出次優(yōu)選擇。較新版本的項目通常更好，但并不總是最好的。

　　商業(yè)工程團隊只管理他們使用的 25% 的組件，使得大部分開源依賴項過時并且容易受到增加的安全風險的影響。

　　自動化每年可為組織節(jié)省 192,000 美元。配備智能自動化，一個擁有 20 個應用開發(fā)團隊的中型企業(yè)每年將節(jié)省 160 個開發(fā)人員日。

　　軟件供應鏈管理實踐：認知與現(xiàn)實

　　主觀調查反饋和客觀數(shù)據(jù)之間存在脫節(jié)。人們相信他們在修復有缺陷的組件方面做得很好，并表示他們了解風險所在?？陀^上，研究表明開發(fā)團隊缺乏結構化的指導，并且經(jīng)常在軟件供應鏈管理方面做出次優(yōu)決策。

　　Sonatype執(zhí)行副總裁馬特霍華德說：“今年的軟件供應鏈狀況報告再次表明，開源如何既是數(shù)字創(chuàng)新的關鍵燃料，又是軟件供應鏈攻擊的成熟目標。雖然開發(fā)人員對開源的需求繼續(xù)呈指數(shù)級增長，但我們的研究首次表明，實際使用的總體供應量很少。此外，我們現(xiàn)在知道流行的項目包含不成比例的更多漏洞。這一嚴峻的現(xiàn)實凸顯了工程領導者接受智能自動化的關鍵責任和機會，以便他們能夠標準化最佳開源供應商，同時幫助開發(fā)人員保持第三方庫的最新和最新的最佳版本?！?/p>