Sonatype 发布了最新的 2021 年软件供应链状况报告,共研究了 10 万个生产应用和 400 万个由开发者进行的组件迁移,以及与 Java(Maven Central)、JavaScript(npmjs)、Python(PyPI)和 .Net(nuget)生态系统相关的供应、需求和安全趋势。一些亮点内容如下:
开源供应、需求和安全漏洞都已呈爆炸性增长
供应量增加了 20%。排名前四的开源生态系统现在包含总共 37,451,682 个不同版本的组件。这些社区在过去一年中总共发布了 6,302,733 个新版本的组件/包,并推出了 723,570 个全新项目,以支持全球 2700 万开发人员。
开发者对开源的需求同比增长 73%。2021 年,全球开发者将从前四大生态系统下载超过 2.2 万亿个开源安装包。不过尽管下载量不断增长,但在生产应用中使用的可用组件的比例却低得令人震惊。
开源攻击增加了 650%。2021 年,世界目睹了旨在利用上游开源生态系统弱点的软件供应链攻击呈指数级增长。
生产应用仅利用了 6% 的可用开源项目。尽管有大量可用的开源项目,但利用率却集中在数量惊人的热门项目上。
流行的开源项目更容易受到攻击。29% 的流行项目版本至少包含一个已知的安全漏洞。相反,只有 6.5% 的非流行项目版本如此,这表明安全研究人员(黑帽和白帽)都集中在使用率最高的项目上。
Sonatype 方面指出,今年的软件供应链状况报告再次表明,开源既是数字创新的关键燃料,也是软件供应链攻击的成熟目标。虽然开发者对开放源代码的需求继续成倍增长,但研究表明,整个供应量中真正被利用的却极少。 此外,流行项目含有不成比例的更多漏洞。这个严峻的现实突出了工程领导的重要责任和机会,即拥抱智能自动化;以便他们能够标准化最佳开源供应商,并同时帮助开发人员保持第三方库的新鲜度和最佳版本的更新。
一些开源项目比其他项目更好
- 具有更快平均更新时间 (MTTU) 的项目更安全,他们被发现存在漏洞的可能性要低 1.8 倍。
- 受欢迎程度并不是安全性的良好预测指标,流行的开源项目包含漏洞的可能性是其他项目的 2.8 倍。
开发团队之间的依赖性管理实践差异很大
- 软件开发人员在更新第三方依赖关系时,69% 的时间会做出次优选择。较新版本的项目一般比较好,但不一定是最好的。
- 商业工程团队只管理他们所使用的 25% 的组件,使他们的大部分开源依赖项过时并容易受到安全风险增加的影响。
- 自动化可以为企业每年节省 192,000 美元。配备智能自动化,一个拥有 20 个应用开发团队的中型企业每年将总共节省 160 个 developer days。
完整报告可查看
本文地址:https://www.oschina.net/news/160643/2021-state-of-the-software-supply-chain
