國外安全公司Sonatype 發(fā)布的一份報(bào)告顯示,,開源供需動(dòng)態(tài)持續(xù)強(qiáng)勁增長,。此外,,關(guān)于開源安全風(fēng)險(xiǎn),,報(bào)告揭示了針對(duì)上游公共存儲(chǔ)庫的供應(yīng)鏈攻擊同比增長 650% ,,以及與流行和非流行項(xiàng)目版本中存在的已知漏洞級(jí)別有關(guān)的迷人二分法,。
根據(jù)從 702 名軟件工程專業(yè)人士收集的調(diào)查回復(fù),,研究觀察到人們對(duì)軟件鏈管理實(shí)踐的主觀信念與 100,000 個(gè)應(yīng)用程序測(cè)量的客觀結(jié)果之間存在根本性脫節(jié),。
報(bào)告分析了與 Java (Maven Central)、JavaScript (npmjs),、Python (PyPI) 和 .Net (nuget) 生態(tài)系統(tǒng)相關(guān)的運(yùn)營供應(yīng),、需求和安全趨勢(shì)。此外,,研究人員還研究了從開發(fā)人員在過去 12 個(gè)月內(nèi)進(jìn)行的 100,000 個(gè)生產(chǎn)應(yīng)用程序和 4,000,000 個(gè)組件遷移中收集的軟件工程實(shí)踐,。
開源供應(yīng)、需求和安全動(dòng)態(tài)
供應(yīng)量增加了 20%。排名前四的開源生態(tài)系統(tǒng)現(xiàn)在包含總共 37,451,682 個(gè)不同版本的組件,。
需求增加了 73%,。2021 年,全球開發(fā)者將從前四大生態(tài)系統(tǒng)下載超過 2.2 萬億個(gè)開源包,。
攻擊增加了650%,。2021 年,世界目睹了旨在利用上游開源生態(tài)系統(tǒng)弱點(diǎn)的軟件供應(yīng)鏈攻擊呈指數(shù)級(jí)增長,。
生產(chǎn)應(yīng)用程序僅使用 6% 的可用項(xiàng)目,。盡管有大量可用的開源項(xiàng)目,但利用率卻集中在數(shù)量驚人的熱門項(xiàng)目上,。
熱門項(xiàng)目更容易受到攻擊,。29% 的流行項(xiàng)目版本至少包含一個(gè)已知的安全漏洞。相反,,只有 6.5% 的非流行項(xiàng)目版本這樣做,,這表明安全研究人員專注于最常用的項(xiàng)目。
確定最佳開源項(xiàng)目的經(jīng)驗(yàn)指標(biāo)
具有更快平均更新時(shí)間 (MTTU) 的項(xiàng)目更安全,。發(fā)現(xiàn)它們具有漏洞的可能性要低 1.8 倍,。
受歡迎程度并不是安全性的良好預(yù)測(cè)指標(biāo)。流行的開源項(xiàng)目包含漏洞的可能性是其他項(xiàng)目的 2.8 倍,。
開發(fā)團(tuán)隊(duì)之間的依賴管理實(shí)踐差異很大
在更新第三方依賴項(xiàng)時(shí),,軟件開發(fā)人員有 69% 的時(shí)間會(huì)做出次優(yōu)選擇。較新版本的項(xiàng)目通常更好,,但并不總是最好的,。
商業(yè)工程團(tuán)隊(duì)只管理他們使用的 25% 的組件,使得大部分開源依賴項(xiàng)過時(shí)并且容易受到增加的安全風(fēng)險(xiǎn)的影響,。
自動(dòng)化每年可為組織節(jié)省 192,000 美元,。配備智能自動(dòng)化,一個(gè)擁有 20 個(gè)應(yīng)用開發(fā)團(tuán)隊(duì)的中型企業(yè)每年將節(jié)省 160 個(gè)開發(fā)人員日,。
軟件供應(yīng)鏈管理實(shí)踐:認(rèn)知與現(xiàn)實(shí)
主觀調(diào)查反饋和客觀數(shù)據(jù)之間存在脫節(jié),。人們相信他們?cè)谛迯?fù)有缺陷的組件方面做得很好,并表示他們了解風(fēng)險(xiǎn)所在,??陀^上,研究表明開發(fā)團(tuán)隊(duì)缺乏結(jié)構(gòu)化的指導(dǎo),,并且經(jīng)常在軟件供應(yīng)鏈管理方面做出次優(yōu)決策,。
Sonatype執(zhí)行副總裁馬特霍華德說:“今年的軟件供應(yīng)鏈狀況報(bào)告再次表明,開源如何既是數(shù)字創(chuàng)新的關(guān)鍵燃料,,又是軟件供應(yīng)鏈攻擊的成熟目標(biāo),。雖然開發(fā)人員對(duì)開源的需求繼續(xù)呈指數(shù)級(jí)增長,,但我們的研究首次表明,實(shí)際使用的總體供應(yīng)量很少,。此外,,我們現(xiàn)在知道流行的項(xiàng)目包含不成比例的更多漏洞。這一嚴(yán)峻的現(xiàn)實(shí)凸顯了工程領(lǐng)導(dǎo)者接受智能自動(dòng)化的關(guān)鍵責(zé)任和機(jī)會(huì),,以便他們能夠標(biāo)準(zhǔn)化最佳開源供應(yīng)商,,同時(shí)幫助開發(fā)人員保持第三方庫的最新和最新的最佳版本?!?/p>