生成式AI与开源软件监管是否让我们更难摆脱依赖地狱?

Sonatype 第九版《软件供应链现状报告》总结

主要观点

尽管在软件供应链安全方面取得了一些进展,但仍有很长的路要走,因为96%的易受攻击的下载是可以避免的。报告特别关注了后疫情时代的监管变化和生成式AI的快速应用。

开源供应与需求

  • 供应侧:新开源项目的发布以年均15%的速度稳定增长,但仍远低于2019年的峰值。
  • 需求侧:开源消费增速放缓,2023年的平均下载增长率与去年持平,为33%,远低于2021年的73%。

各生态系统预测

  • Java:预计达到1万亿次请求,年增长25%。
  • Javascript:预计达到2.1万亿次请求,年增长32%。
  • Python:预计达到2610亿次请求,年增长31%。
  • .Net:预计达到1620亿次请求,年增长43%。

开源安全

  • 恶意包:2023年发现了245,032个恶意包,是前四年累计数的两倍。
  • 漏洞利用:攻击者更频繁地利用已知漏洞而非零日漏洞。
  • Log4Shell:两年后,仍有25%的用户在下载易受攻击的版本。

开源安全实践

  • 维护情况:18.6%的项目不再符合维护标准,Java项目整体表现优于JavaScript项目。
  • 项目质量:维护项目的评分有所提高,Java生态系统表现积极,JavaScript则出现负面变化。

现代开源依赖管理

  • Java应用:平均使用148个依赖,每年约有10次发布,开发者需跟踪1500个依赖变更。
  • 可避免的漏洞下载:Maven Central的36.4%月度漏洞下载中,96%是可避免的。

软件供应链成熟度

  • 工具集成:集成工具的使用增加了9.8%,风险信息直接嵌入持续集成流程。
  • SBOM需求:53%的受访者为每个应用生成SBOM,大型企业比例更高。

监管与标准

  • 国际合作:德国、澳大利亚、日本、加拿大等国加入主要网络空间监管推动者行列。
  • 美国:国家安全战略、开源软件安全法案、FDA网络安全指南、SEC新规等。
  • 欧盟:网络弹性法案、产品责任指令、网络与信息安全指令等。

AI在软件开发中的应用

  • 工具采用:AI和ML工具在企业中的应用翻倍。
  • 模型选择:从30多万个可用模型中选择时,需评估参数规模、输入上下文窗口、版本适用性、嵌入等。
  • 许可风险:使用“影子”许可模型可能带来风险。

总结

报告强调,在开源消费和安全问题日益复杂的背景下,生成式AI的快速应用和监管变化使得行业面临更多挑战。需要持续保持警惕,采取强有力的安全实践和积极的依赖管理,以应对不断演变的数字环境。

阅读 25
0 条评论