10 月 6 日消息，軟件提供商Sonatype日前發(fā)布了《2023 年軟件供應(yīng)鏈狀況》報告，號稱“深入探討了如何在充滿選擇的世界中定義更好的軟件，并探究了 AI 對軟件開發(fā)的深遠影響，還研究了開源供應(yīng)、需求和安全之間錯綜復(fù)雜的相互作用，闡明了監(jiān)管部門應(yīng)對網(wǎng)絡(luò)安全風(fēng)險而采取的措施”等內(nèi)容。

從 Sonatype 報告中得知，其認為“開源項目在近年來經(jīng)歷了顯著的增長，表明了正在進行的業(yè)界創(chuàng)新浪潮”。

據(jù)悉，報告跟蹤了 Java（Maven）、JavaScript（npm）、Python（PyPI）、.NET（NuGet Gallery）四大開源生態(tài)系統(tǒng)的開源應(yīng)用增長情況，2022 年至 2023 年間，開源項目的數(shù)量平均增長了 29%。

2023 年，開源項目平均發(fā)布了 15 個可供使用的版本，不同開源注冊中心的特定生態(tài)系統(tǒng)平均有 10 到 22 個版本。這意味著每個月都會發(fā)布 1-2 個新版本，在觀察到的生態(tài)系統(tǒng)中總共發(fā)布了 6000 萬個新版本。

不過 Sonatype同時指出，雖然開源項目在逐步增加，但用戶群體數(shù)量“并沒有跟上步伐”，2023 年，開源項目用戶的平均增長率為 33%，相對于 2021 年的 73% 大幅下降。

而在安全方面，該軟件提供商認為，開源項目的安全問題并沒有“放緩的跡象”。截至 2023 年 9 月，研究團隊共發(fā)現(xiàn)了245032 個惡意軟件包，是往年總和的 2 倍。1/8 的開源下載存在已知風(fēng)險，且仍有 23% 的 Log4j 下載存在嚴(yán)重漏洞。

在開源項目的維護方面，Sonatype認為，相關(guān)開源項目的“維護參與度”變得越來越少。去年有近五分之一（18.6%）的項目停止維護，影響了 Java 和 JavaScript 生態(tài)系統(tǒng)。只有 11% 的開源項目實際上得到了積極維護。盡管存在這些缺陷，但該軟件公司仍然表示，近 96% 存在已知漏洞的組件下載可以通過選擇“無漏洞版本”來避免。

而在軟件供應(yīng)鏈成熟度方面，當(dāng)下軟件物料清單的需求正在上升，而相關(guān)軟件的“安全優(yōu)勢”愈發(fā)突出。不過考慮到軟件供應(yīng)商自我報告的成熟度水平，與第三方評估的軟件成熟度水平存在顯著差距，Sonatype認為，需要以中立第三方的方式對各軟件供應(yīng)鏈成熟度進行評估。

在 AI 方面，97% 的受訪 DevOps 和 SecOps 領(lǐng)導(dǎo)者表示，他們目前在工作流程中某種程度上使用了人工智能，大多數(shù)人每天使用兩個或更多工具。去年，企業(yè)環(huán)境中 AI 和 ML 組件的采用率增加了 135%。

參考

• Introducing our 9th annual State of the Software Supply Chain report — Sonatype

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，所有文章均包含本聲明。

總結(jié)

以上是生活随笔為你收集整理的Sonatype：市面上 1/8 的开源组件存在已知漏洞，相关项目维护积极性正逐步减少的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。