2021 年開源安裝包下載量將超 2.2 萬億,開源攻擊增長 650%
Sonatype 發(fā)布了最新的 2021 年軟件供應(yīng)鏈狀況報(bào)告,共研究了 10 萬個(gè)生產(chǎn)應(yīng)用和 400 萬個(gè)由開發(fā)者進(jìn)行的組件遷移,以及與 Java(Maven Central)、JavaScript(npmjs)、Python(PyPI)和 .Net(nuget)生態(tài)系統(tǒng)相關(guān)的供應(yīng)、需求和安全趨勢。一些亮點(diǎn)內(nèi)容如下:
開源供應(yīng)、需求和安全漏洞都已呈爆炸性增長
供應(yīng)量增加了 20%。排名前四的開源生態(tài)系統(tǒng)現(xiàn)在包含總共 37,451,682 個(gè)不同版本的組件。這些社區(qū)在過去一年中總共發(fā)布了 6,302,733 個(gè)新版本的組件/包,并推出了 723,570 個(gè)全新項(xiàng)目,以支持全球 2700 萬開發(fā)人員。
開發(fā)者對開源的需求同比增長 73%。2021 年,全球開發(fā)者將從前四大生態(tài)系統(tǒng)下載超過 2.2 萬億個(gè)開源安裝包。不過盡管下載量不斷增長,但在生產(chǎn)應(yīng)用中使用的可用組件的比例卻低得令人震驚。
開源攻擊增加了 650%。2021 年,世界目睹了旨在利用上游開源生態(tài)系統(tǒng)弱點(diǎn)的軟件供應(yīng)鏈攻擊呈指數(shù)級增長。
生產(chǎn)應(yīng)用僅利用了 6% 的可用開源項(xiàng)目。盡管有大量可用的開源項(xiàng)目,但利用率卻集中在數(shù)量驚人的熱門項(xiàng)目上。
流行的開源項(xiàng)目更容易受到攻擊。29% 的流行項(xiàng)目版本至少包含一個(gè)已知的安全漏洞。相反,只有 6.5% 的非流行項(xiàng)目版本如此,這表明安全研究人員(黑帽和白帽)都集中在使用率最高的項(xiàng)目上。
Sonatype 方面指出,今年的軟件供應(yīng)鏈狀況報(bào)告再次表明,開源既是數(shù)字創(chuàng)新的關(guān)鍵燃料,也是軟件供應(yīng)鏈攻擊的成熟目標(biāo)。雖然開發(fā)者對開放源代碼的需求繼續(xù)成倍增長,但研究表明,整個(gè)供應(yīng)量中真正被利用的卻極少。 此外,流行項(xiàng)目含有不成比例的更多漏洞。這個(gè)嚴(yán)峻的現(xiàn)實(shí)突出了工程領(lǐng)導(dǎo)的重要責(zé)任和機(jī)會(huì),即擁抱智能自動(dòng)化;以便他們能夠標(biāo)準(zhǔn)化最佳開源供應(yīng)商,并同時(shí)幫助開發(fā)人員保持第三方庫的新鮮度和最佳版本的更新。
一些開源項(xiàng)目比其他項(xiàng)目更好
- 具有更快平均更新時(shí)間 (MTTU) 的項(xiàng)目更安全,他們被發(fā)現(xiàn)存在漏洞的可能性要低 1.8 倍。
- 受歡迎程度并不是安全性的良好預(yù)測指標(biāo),流行的開源項(xiàng)目包含漏洞的可能性是其他項(xiàng)目的 2.8 倍。
開發(fā)團(tuán)隊(duì)之間的依賴性管理實(shí)踐差異很大
- 軟件開發(fā)人員在更新第三方依賴關(guān)系時(shí),69% 的時(shí)間會(huì)做出次優(yōu)選擇。較新版本的項(xiàng)目一般比較好,但不一定是最好的。
- 商業(yè)工程團(tuán)隊(duì)只管理他們所使用的 25% 的組件,使他們的大部分開源依賴項(xiàng)過時(shí)并容易受到安全風(fēng)險(xiǎn)增加的影響。
- 自動(dòng)化可以為企業(yè)每年節(jié)省 192,000 美元。配備智能自動(dòng)化,一個(gè)擁有 20 個(gè)應(yīng)用開發(fā)團(tuán)隊(duì)的中型企業(yè)每年將總共節(jié)省 160 個(gè) developer days。
本文轉(zhuǎn)自O(shè)SCHINA
本文標(biāo)題:2021 年開源安裝包下載量將超 2.2 萬億,開源攻擊增長 650%
本文地址:https://www.oschina.net/news/160643/2021-state-of-the-software-supply-chain
