千家信息网

Sonatype:市面上 1/8 的开源组件存在已知漏洞,相关项目维护积极性正逐步减少

发表于:2024-11-23 作者:千家信息网编辑
千家信息网最后更新 2024年11月23日,CTOnews.com 10 月 6 日消息,软件提供商 Sonatype 日前发布了《2023 年软件供应链状况》报告,号称"深入探讨了如何在充满选择的世界中定义更好的软件,并探究了 AI 对软件开
千家信息网最后更新 2024年11月23日Sonatype:市面上 1/8 的开源组件存在已知漏洞,相关项目维护积极性正逐步减少

CTOnews.com 10 月 6 日消息,软件提供商 Sonatype 日前发布了《2023 年软件供应链状况》报告,号称"深入探讨了如何在充满选择的世界中定义更好的软件,并探究了 AI 对软件开发的深远影响,还研究了开源供应、需求和安全之间错综复杂的相互作用,阐明了监管部门应对网络安全风险而采取的措施"等内容。

CTOnews.com从 Sonatype 报告中得知,其认为"开源项目在近年来经历了显著的增长,表明了正在进行的业界创新浪潮"

据悉,报告跟踪了 Java(Maven)、JavaScript(npm)、Python(PyPI)、.NET(NuGet Gallery)四大开源生态系统的开源应用增长情况,2022 年至 2023 年间,开源项目的数量平均增长了 29%

▲ 图源 Sonatype

2023 年,开源项目平均发布了 15 个可供使用的版本,不同开源注册中心的特定生态系统平均有 10 到 22 个版本。这意味着每个月都会发布 1-2 个新版本,在观察到的生态系统中总共发布了 6000 万个新版本。

不过 Sonatype 同时指出,虽然开源项目在逐步增加,但用户群体数量"并没有跟上步伐",2023 年,开源项目用户的平均增长率为 33%,相对于 2021 年的 73% 大幅下降

而在安全方面,该软件提供商认为,开源项目的安全问题并没有"放缓的迹象"。截至 2023 年 9 月,研究团队共发现了 245032 个恶意软件包,是往年总和的 2 倍。1/8 的开源下载存在已知风险,且仍有 23% 的 Log4j 下载存在严重漏洞。

▲ 图源 Sonatype

在开源项目的维护方面,Sonatype 认为,相关开源项目的"维护参与度"变得越来越少。去年有近五分之一(18.6%)的项目停止维护,影响了 Java 和 JavaScript 生态系统。只有 11% 的开源项目实际上得到了积极维护。尽管存在这些缺陷,但该软件公司仍然表示,近 96% 存在已知漏洞的组件下载可以通过选择"无漏洞版本"来避免。

而在软件供应链成熟度方面,当下软件物料清单的需求正在上升,而相关软件的"安全优势"愈发突出。不过考虑到软件供应商自我报告的成熟度水平,与第三方评估的软件成熟度水平存在显著差距,Sonatype 认为,需要以中立第三方的方式对各软件供应链成熟度进行评估

▲ 图源 Sonatype

在 AI 方面,97% 的受访 DevOps 和 SecOps 领导者表示,他们目前在工作流程中某种程度上使用了人工智能,大多数人每天使用两个或更多工具。去年,企业环境中 AI 和 ML 组件的采用率增加了 135%。

▲ 图源 Sonatype

参考

  • Introducing our 9th annual State of the Software Supply Chain report - Sonatype

0