2021 年開源安裝包下載量將超 2.2 萬億,開源攻擊增長 650%
Sonatype 發布了最新的 2021 年軟件供應鏈狀況報告,共研究了 10 萬個生產應用和 400 萬個由開發者進行的組件遷移,以及與 Java(Maven Central)、JavaScript(npmjs)、Python(PyPI)和 .Net(nuget)生態系統相關的供應、需求和安全趨勢。一些亮點內容如下:
開源供應、需求和安全漏洞都已呈爆炸性增長
供應量增加了 20%。排名前四的開源生態系統現在包含總共 37,451,682 個不同版本的組件。這些社區在過去一年中總共發布了 6,302,733 個新版本的組件/包,并推出了 723,570 個全新項目,以支持全球 2700 萬開發人員。
開發者對開源的需求同比增長 73%。2021 年,全球開發者將從前四大生態系統下載超過 2.2 萬億個開源安裝包。不過盡管下載量不斷增長,但在生產應用中使用的可用組件的比例卻低得令人震驚。
開源攻擊增加了 650%。2021 年,世界目睹了旨在利用上游開源生態系統弱點的軟件供應鏈攻擊呈指數級增長。
生產應用僅利用了 6% 的可用開源項目。盡管有大量可用的開源項目,但利用率卻集中在數量驚人的熱門項目上。
流行的開源項目更容易受到攻擊。29% 的流行項目版本至少包含一個已知的安全漏洞。相反,只有 6.5% 的非流行項目版本如此,這表明安全研究人員(黑帽和白帽)都集中在使用率最高的項目上。
Sonatype 方面指出,今年的軟件供應鏈狀況報告再次表明,開源既是數字創新的關鍵燃料,也是軟件供應鏈攻擊的成熟目標。雖然開發者對開放源代碼的需求繼續成倍增長,但研究表明,整個供應量中真正被利用的卻極少。 此外,流行項目含有不成比例的更多漏洞。這個嚴峻的現實突出了工程領導的重要責任和機會,即擁抱智能自動化;以便他們能夠標準化最佳開源供應商,并同時幫助開發人員保持第三方庫的新鮮度和最佳版本的更新。
一些開源項目比其他項目更好
- 具有更快平均更新時間 (MTTU) 的項目更安全,他們被發現存在漏洞的可能性要低 1.8 倍。
- 受歡迎程度并不是安全性的良好預測指標,流行的開源項目包含漏洞的可能性是其他項目的 2.8 倍。
開發團隊之間的依賴性管理實踐差異很大
- 軟件開發人員在更新第三方依賴關系時,69% 的時間會做出次優選擇。較新版本的項目一般比較好,但不一定是最好的。
- 商業工程團隊只管理他們所使用的 25% 的組件,使他們的大部分開源依賴項過時并容易受到安全風險增加的影響。
- 自動化可以為企業每年節省 192,000 美元。配備智能自動化,一個擁有 20 個應用開發團隊的中型企業每年將總共節省 160 個 developer days。
本文轉自OSCHINA
本文標題:2021 年開源安裝包下載量將超 2.2 萬億,開源攻擊增長 650%
本文地址:https://www.oschina.net/news/160643/2021-state-of-the-software-supply-chain
