近日,Sonatype 釋出了最新的 “2021 年軟體供應鏈狀況報告”。該報告資料顯示,開源供應、需求和安全漏洞全部呈現出“爆炸性”增長,其中開源供應量增加了 20%,開源需求增加了 73%,開源攻擊也隨之暴漲 650%。與此同時,開源安全和依賴關係管理佔據了“2021 年軟體供應鏈”的主導地位。
本次報告,通過對 10 萬個生產應用、 400 萬個由開發者進行的元件遷移,以及與 Java(Maven Central)、JavaScript(npmjs)、Python(PyPI)和 .Net(nuget)生態系統相關的供應、需求和安全趨勢進行了研究,從而得出了以下一些亮點。
開源供應、需求和安全漏洞均呈現“爆炸性”增長
據 Sonatype 報告顯示,過去的一年裡,開源供應、開源需求和開源安全漏洞的資料,均呈現出了“爆炸性”增長。詳細情況如下:
(1)開源供應量增加了 20%。過去的一年裡,四大開源生態系統釋出了 6,302,733 個新版本的元件/包,推出了 723,570 個全新專案,全球 2700 萬開發人員參與其中。截止目前,四大開源生態系統的元件/包總數已經達到了 37,451,682 個。
(2)開源需求增加了 73%。2021 年,世界各地的開發者將從四大生態系統下載超過 2.2 萬億個開源軟體包,相比上一年這一資料大幅增加。
(3)隨著開源下載量的增加,開源攻擊也隨之增加了 650%。2021 年,全世界見證了旨在利用上游開源生態系統弱點的軟體供應鏈攻擊呈指數級增長。
(4)生產應用程式僅利用可用開源專案的 6%。儘管有大量可用的開源專案,但目前的利用率僅集中在少數受歡迎的專案上。
(5)受歡迎的開源專案更容易受到攻擊。資料顯示,目前 29% 的流行專案版本至少包含一個已知的安全漏洞;反之,僅 6.5% 的非流行專案版本是這樣。這一資料表明,安全研究人員們(blackhat 和 whitehat)更專注於使用率較高的專案。
開源漏洞的密度按生態系統分佈
本次 Sonatype 釋出的研究表明,儘管開發人員對開放原始碼的需求繼續呈指數級增長,但實際使用的開放原始碼總量依舊非常少。
在目前比較流行專案中,其包含的漏洞的專案遠超正常比例。Sonatype 指出,以上這一事實,為專案領導者點明瞭現階段的重要責任和機遇——擁抱智慧自動化,這可以讓他們在最佳開源供應商的基礎上實現標準化,同時幫助開發人員保持第三方庫和最佳版本的更新。
更新迭代快、受歡迎程度低的開源專案更安全
Sonatype 報告資料顯示,相比其他一些專案,平均更新時間(MTTU)更快的開源專案被發現有漏洞的可能性降低了 1.8 倍,因此這樣的專案會更安全一些。
另外,專案的受歡迎程度,並不能很好地預測該專案的安全性。一般而言,比較流行的開源專案,其所包含漏洞的可能性是普通專案的 2.8 倍。
開發團隊間的依賴關係管理實踐差異較大
資料顯示,在開源軟體供應鏈中,軟體開發人員在更新第三方依賴項時,69% 的時間會做出次優選擇。一般而言,更新版本的專案會更好,但並非都是最好的。
由於商業工程團隊僅管理了所使用元件的 25% ,這使得他們大多數開源的依賴關係比較過時,且容易受到更大安全風險的影響。
Sonatype 報告指出,自動化可幫助開發者團隊節省 19.2 萬美元/年。一家擁有 20 個應用程式開發團隊的中型企業,在配備了智慧自動化系統的條件下,每年將幫助企業省下 160 個開發日。
軟體供應鏈管理實踐:感知與現實
此次 Sonatype 研究還表明,開發團隊缺乏結構化的指導,經常在軟體供應鏈管理方面做出次優決策。
一般情況下,人們相信他們在修復缺陷部件方面做得很好,並表示他們瞭解風險所在。但事實上,主觀調查反饋與客觀資料之間存在脫節。
對於當下軟體供應鏈領域面臨的一些問題,Sonatype 在評論中表示,目前如蘋果、高盛和亞馬遜等業績較好的公司,以及最近的 Zoom、Peloton 和 Wayfair 等企業,已經掌握了三個關鍵競爭優勢:
(1)知道如何大規模使用開源和第三方創新
(2)將安全和風險控制整合到軟體供應鏈的多個階段
(3)比競爭對手更快地釋出更高質量的程式碼
在過去的一年裡,人們的生活和工作方式、企業實體和數字供應鏈的運作方式等,都發生了根本性的變化。數字創新推動經濟發展的今天,企業開發者們要想規避那些利用軟體供應鏈帶來的網路攻擊,或想要為軟體供應鏈管理等方面帶來一些創新,本次 Sonatype 報告或許能帶來一些啟發。
Sonatype 報告完整版:
https://www.sonatype.com/reso...