Sonatype 第九版《软件供应链现状报告》总结
主要观点
尽管在软件供应链安全方面取得了一些进展,但仍有很长的路要走,因为96%的易受攻击的下载是可以避免的。报告特别关注了后疫情时代的监管变化和生成式AI的快速应用。
开源供应与需求
- 供应侧:新开源项目的发布以年均15%的速度稳定增长,但仍远低于2019年的峰值。
- 需求侧:开源消费增速放缓,2023年的平均下载增长率与去年持平,为33%,远低于2021年的73%。
各生态系统预测
- Java:预计达到1万亿次请求,年增长25%。
- Javascript:预计达到2.1万亿次请求,年增长32%。
- Python:预计达到2610亿次请求,年增长31%。
- .Net:预计达到1620亿次请求,年增长43%。
开源安全
- 恶意包:2023年发现了245,032个恶意包,是前四年累计数的两倍。
- 漏洞利用:攻击者更频繁地利用已知漏洞而非零日漏洞。
- Log4Shell:两年后,仍有25%的用户在下载易受攻击的版本。
开源安全实践
- 维护情况:18.6%的项目不再符合维护标准,Java项目整体表现优于JavaScript项目。
- 项目质量:维护项目的评分有所提高,Java生态系统表现积极,JavaScript则出现负面变化。
现代开源依赖管理
- Java应用:平均使用148个依赖,每年约有10次发布,开发者需跟踪1500个依赖变更。
- 可避免的漏洞下载:Maven Central的36.4%月度漏洞下载中,96%是可避免的。
软件供应链成熟度
- 工具集成:集成工具的使用增加了9.8%,风险信息直接嵌入持续集成流程。
- SBOM需求:53%的受访者为每个应用生成SBOM,大型企业比例更高。
监管与标准
- 国际合作:德国、澳大利亚、日本、加拿大等国加入主要网络空间监管推动者行列。
- 美国:国家安全战略、开源软件安全法案、FDA网络安全指南、SEC新规等。
- 欧盟:网络弹性法案、产品责任指令、网络与信息安全指令等。
AI在软件开发中的应用
- 工具采用:AI和ML工具在企业中的应用翻倍。
- 模型选择:从30多万个可用模型中选择时,需评估参数规模、输入上下文窗口、版本适用性、嵌入等。
- 许可风险:使用“影子”许可模型可能带来风险。
总结
报告强调,在开源消费和安全问题日益复杂的背景下,生成式AI的快速应用和监管变化使得行业面临更多挑战。需要持续保持警惕,采取强有力的安全实践和积极的依赖管理,以应对不断演变的数字环境。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。