《2020年软件供应链状况报告》是 Sonatype 发布的第六份年度软件供应链状况报告,此报告分析了超过 1.5 万亿个开源下载请求,24,000 个开源项目和 5,600 个企业开发团队。目的是分享软件供应链上游和下游观察到的证据、实践和成果。Sonatype 发现生产力不一定要以降低安全性为代价。
在供应方面,Sonatype 观察到,模范的开源项目从更频繁的代码提交、依赖性更新和发布中获益匪浅。更新越频繁,OSS项目一般越安全。
在需求方面,Sonatype 发现了一系列影响软件供应链成功结果的企业实践。高绩效者的部署更频繁,更快速地检测和修复脆弱的OSS组件,并有效地批准新的OSS组件。高绩效企业还能更快地让开发人员加入新的团队,其员工在工作中表现出很高的满意度。
Sonatype 对消费模式、开发实践和网络安全卫生等深入研究也发现:
- 主动针对开源软件项目的下一代网络攻击增长430%。
- 2020年1.5万亿个开源组件和容器下载请求。
- 对于典型的开源项目来说,更新依赖关系的平均时间快了530倍,提交次数多了2.8倍。
- 为高性能企业开发团队提供26倍速度的开源漏洞检测和修复。
- 11%的应用中使用的OSS组件存在已知的漏洞。
本次报告还发现,数字化创新是几乎所有类型企业竞争力和价值创造的最终源泉。因此,在企业软件工程团队和为其工作的2000万软件开发人员中,有三件事越来越常见:
- 他们追求更快的创新速度
- 他们寻求改善安全。
- 他们利用了大量的开源库。
通过观察整篇报告我们发现,模范的开放源码软件项目和创新的企业开发团队正在迅速提供高质量的安全软件。他们的敬业精神值得赞扬,他们取得成绩已经成为其他开发者的目标。
完整报告传送门:https://www.sonatype.com/2020ssc
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。