Sonatype:市面上 1/8 的开源组件存在已知漏洞,相关项目维护积极性正逐步减少
CTOnews.com 10 月 6 日消息,软件提供商 Sonatype 日前发布了《2023 年软件供应链状况》报告,号称"深入探讨了如何在充满选择的世界中定义更好的软件,并探究了 AI 对软件开发的深远影响,还研究了开源供应、需求和安全之间错综复杂的相互作用,阐明了监管部门应对网络安全风险而采取的措施"等内容。
CTOnews.com从 Sonatype 报告中得知,其认为"开源项目在近年来经历了显著的增长,表明了正在进行的业界创新浪潮"。
据悉,报告跟踪了 Java(Maven)、JavaScript(npm)、Python(PyPI)、.NET(NuGet Gallery)四大开源生态系统的开源应用增长情况,2022 年至 2023 年间,开源项目的数量平均增长了 29%。
2023 年,开源项目平均发布了 15 个可供使用的版本,不同开源注册中心的特定生态系统平均有 10 到 22 个版本。这意味着每个月都会发布 1-2 个新版本,在观察到的生态系统中总共发布了 6000 万个新版本。
不过 Sonatype 同时指出,虽然开源项目在逐步增加,但用户群体数量"并没有跟上步伐",2023 年,开源项目用户的平均增长率为 33%,相对于 2021 年的 73% 大幅下降。
而在安全方面,该软件提供商认为,开源项目的安全问题并没有"放缓的迹象"。截至 2023 年 9 月,研究团队共发现了 245032 个恶意软件包,是往年总和的 2 倍。1/8 的开源下载存在已知风险,且仍有 23% 的 Log4j 下载存在严重漏洞。
在开源项目的维护方面,Sonatype 认为,相关开源项目的"维护参与度"变得越来越少。去年有近五分之一(18.6%)的项目停止维护,影响了 Java 和 JavaScript 生态系统。只有 11% 的开源项目实际上得到了积极维护。尽管存在这些缺陷,但该软件公司仍然表示,近 96% 存在已知漏洞的组件下载可以通过选择"无漏洞版本"来避免。
而在软件供应链成熟度方面,当下软件物料清单的需求正在上升,而相关软件的"安全优势"愈发突出。不过考虑到软件供应商自我报告的成熟度水平,与第三方评估的软件成熟度水平存在显著差距,Sonatype 认为,需要以中立第三方的方式对各软件供应链成熟度进行评估。
在 AI 方面,97% 的受访 DevOps 和 SecOps 领导者表示,他们目前在工作流程中某种程度上使用了人工智能,大多数人每天使用两个或更多工具。去年,企业环境中 AI 和 ML 组件的采用率增加了 135%。
参考
Introducing our 9th annual State of the Software Supply Chain report - Sonatype
- 上一篇
Valve 发布 Proton 8.0-4,让 Linux 玩家玩到更多 Windows 游戏
CTOnews.com 10 月 6 日消息,Valve 今天发布了 Proton 8.0-4 更新,距离上个版本更新相隔两个半月时间,为 Linux 玩家带来更多 Windows 游戏。本次新版本主
- 下一篇
CDPR:《赛博朋克 2077:往日之影》预算 8460 万美元、核心游戏开发者 360 位
CTOnews.com 10 月 6 日消息,CDPR 官方微博昨天公布了《赛博朋克 2077》相关销量信息,CTOnews.com曾报道,该作销量已达 2500 万份,速度超过了《巫师 3》,而在今
相关文章
- 25 周年纪念作,情怀拉满但诚意欠缺:《勇者斗恶龙 怪物仙境 3》
- 联想拯救者 Y700 2023 平板推送 ZUI 15.0.723 系统灰度测试:新增“USB 网络共享”,优化底部小白条
- Streacom 推出 SG10 高端被动散热机箱:可解热 600W,1300 美元
- 3D 角色扮演策略游戏《少女前线 2:追放》公测开启,安卓、iOS、PC 多端互通
- 新能源车市:价格战开局,价值战结束
- 雪天这样拍,照片更为味道
- Cybertruck:未来物种重新定义汽车
- 2022 年我国未成年网民规模突破 1.93 亿,普及率达 97.2%
- 上映 7 天,《名侦探柯南:黑铁的鱼影》内地票房破亿、豆瓣 6.6 分
- 小岛工作室推出《死亡搁浅》联名手机手柄,预计明年发售