10 月 6 日消息，軟件提供商Sonatype日前發布了《2023 年軟件供應鏈狀況》報告，號稱“深入探討了如何在充滿選擇的世界中定義更好的軟件，并探究了 AI 對軟件開發的深遠影響，還研究了開源供應、需求和安全之間錯綜復雜的相互作用，闡明了監管部門應對網絡安全風險而采取的措施”等內容。

從 Sonatype 報告中得知，其認為“開源項目在近年來經歷了顯著的增長，表明了正在進行的業界創新浪潮”。

據悉，報告跟蹤了 Java（Maven）、JavaScript（npm）、Python（PyPI）、.NET（NuGet Gallery）四大開源生態系統的開源應用增長情況，2022 年至 2023 年間，開源項目的數量平均增長了 29%。

2023 年，開源項目平均發布了 15 個可供使用的版本，不同開源注冊中心的特定生態系統平均有 10 到 22 個版本。這意味著每個月都會發布 1-2 個新版本，在觀察到的生態系統中總共發布了 6000 萬個新版本。

不過 Sonatype同時指出，雖然開源項目在逐步增加，但用戶群體數量“并沒有跟上步伐”，2023 年，開源項目用戶的平均增長率為 33%，相對于 2021 年的 73% 大幅下降。

而在安全方面，該軟件提供商認為，開源項目的安全問題并沒有“放緩的跡象”。截至 2023 年 9 月，研究團隊共發現了245032 個惡意軟件包，是往年總和的 2 倍。1/8 的開源下載存在已知風險，且仍有 23% 的 Log4j 下載存在嚴重漏洞。

在開源項目的維護方面，Sonatype認為，相關開源項目的“維護參與度”變得越來越少。去年有近五分之一（18.6%）的項目停止維護，影響了 Java 和 JavaScript 生態系統。只有 11% 的開源項目實際上得到了積極維護。盡管存在這些缺陷，但該軟件公司仍然表示，近 96% 存在已知漏洞的組件下載可以通過選擇“無漏洞版本”來避免。

而在軟件供應鏈成熟度方面，當下軟件物料清單的需求正在上升，而相關軟件的“安全優勢”愈發突出。不過考慮到軟件供應商自我報告的成熟度水平，與第三方評估的軟件成熟度水平存在顯著差距，Sonatype認為，需要以中立第三方的方式對各軟件供應鏈成熟度進行評估。

在 AI 方面，97% 的受訪 DevOps 和 SecOps 領導者表示，他們目前在工作流程中某種程度上使用了人工智能，大多數人每天使用兩個或更多工具。去年，企業環境中 AI 和 ML 組件的采用率增加了 135%。

參考

• Introducing our 9th annual State of the Software Supply Chain report — Sonatype

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節省甄選時間，結果僅供參考，所有文章均包含本聲明。

總結

以上是生活随笔為你收集整理的Sonatype：市面上 1/8 的开源组件存在已知漏洞，相关项目维护积极性正逐步减少的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。