Sonatype 發布的一份報告顯示,開源供需動態持續強勁增長。此外,關于開源安全風險,該報告顯示,針對上游公共存儲庫的供應鏈攻擊同比增長了 650% ,并且在流行和非流行項目版本中存在的已知漏洞水平方面存在著有趣的二分法。
根據從702名軟件工程專業人士收集的調查反饋,研究發現人們對軟件鏈管理實踐的主觀信念與10萬個應用程序的客觀結果之間存在根本脫節。
該報告分析了與Java (Maven Central)、JavaScript (npmjs)、Python (PyPI) 和 .Net (nuget) 生態系統相關的運營供應、需求和安全趨勢。此外,研究人員研究了在過去12個月里,從開發人員進行的100,000個生產應用程序和4,000,000個組件遷移中收集的軟件工程實踐。
開源供應、需求和安全動態
供應量增加20%。前四大開源生態系統現在包含37451,682個不同版本的組件。
需求增加73%。到2021年,世界各地的開發者將從前四大生態系統下載超過2.2萬億的開源軟件包。
攻擊增加650%。2021年,針對上游開源生態系統弱點的軟件供應鏈攻擊呈指數級增長。
生產應用程序只利用了6%的可用項目。盡管有大量的開源項目可用,但使用率卻集中在少數受歡迎的項目中。
熱門項目更容易受到攻擊。29%的流行項目版本包含至少一個已知的安全漏洞。相反,只有6.5%的非流行項目版本這樣做,這表明安全研究人員關注的是最常用的項目。
確定最佳開源項目的經驗指標
具有更快平均更新時間(MTTU)的項目更安全。研究發現,他們出現漏洞的可能性要低1.8倍。
受歡迎程度并不能很好地預示安全性。流行的開源項目存在漏洞的可能性是普通項目的2.8倍。
開發團隊之間的依賴管理實踐差異很大
軟件開發人員在更新第三方依賴時,69%的情況下會做出次優選擇。新版本的項目通常更好,但并不總是最好的。這在無形中忽視了版本中關于漏洞補丁的問題。
商業工程團隊只管理他們使用的 25% 的組件,使得他們的大部分開源依賴項過時并且容易受到安全風險的影響。
自動化每年可為組織節省 192,000 美元。如果配備了智能自動化,一個擁有20個應用程序開發團隊的中型企業每年將節省160天開發時間。
軟件供應鏈管理實踐:認知與現實
主觀調查反饋和客觀數據之間存在脫節。人們相信他們在修復有缺陷的組件方面做得很好,并表示他們了解風險所在。客觀上,研究表明開發團隊缺乏結構化的指導,并且經常在軟件供應鏈管理方面做出次優決策。
“今年的軟件供應鏈狀況報告再次表明,開源如何既是數字創新的關鍵燃料,又是軟件供應鏈攻擊的成熟目標,” Sonatype執行副總裁Matt Howard表示。
“雖然開發人員對開源的需求繼續呈指數級增長,但我們的研究首次表明,實際使用的總體供應量很少。
此外,我們現在知道流行的項目包含更多漏洞。這一嚴峻的現實凸顯了工程領導者采用智能自動化的關鍵責任和機會,這樣他們就可以對最好的開源供應商進行標準化,同時幫助開發人員保持第三方庫的更新和最新的最佳版本。”
同時,面對開源存在更多安全漏洞的事實,開發團隊應警惕潛在軟件供應鏈安全風險。在開發前期將安全考慮進來。通常我們認為有人看過代碼,他們分析了代碼就安全了。但實際上可能不是這樣。
據Synopsis稱,目前84%的代碼庫至少存在一個安全漏洞。由于開源軟件依賴于第三方代碼鏈,安全團隊通常很難獲得依賴性供應鏈的全部可見性,而在那些不易察覺的地方的任何漏洞都可能導致整個網絡受到破壞。建議企業在軟件開發過程中或進行DevsecOps建設時,有必要進行一定的靜態代碼安全檢測及開源代碼安全測試,以確保沒有在無意間將安全漏洞引入軟件,提高軟件安全性降低遭到網絡攻擊的風險。Wukong(悟空)靜態代碼檢測工具,從源碼開始,為您的軟件安全保駕護航!
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/120834.html
