整理 | 祝涛
出品 | CSDN(ID:CSDNnews)
“开源供应增加了20%,开源需求增加了73%,开源攻击增加了650%。”
“只有6%的可用开源项目被使用。”
“越受欢迎的开源项目越容易受到攻击。”
“平均更新时间(MTTU)更快的项目更安全。”
“自动化每年能为企业节省19.2万美元和160个开发日的时间。”
- 开源攻击增加了650%。2021年,针对开源生态系统弱点的软件供应链攻击呈指数级增长。
- 只有6%的可用开源项目被使用,利用率不高。尽管有大量的开源项目可用,但使用率却集中在少数受欢迎的项目中。
- 越受欢迎的开源项目越容易受到攻击。Sonatype的最新报告还发现,安全漏洞普遍存在于受欢迎的项目中。在四个开源生态系统(Java、JavaScript、Python和.NET)中排名前10%的项目里,其中29%的项目都至少包含一个已知的安全漏洞。在其余90%的“不受欢迎”项目中,只有6.5%的项目包含至少一个已知漏洞。
-
商业工程团队只管理他们所使用的25%的组件,使得大多数开源依赖关系过时,容易受到安全风险的影响。
-
自动化每年能为企业节省19.2万美元。如果配备了智能自动化系统,一家拥有20个应用程序开发团队的中型企业每年将节省160个开发日的时间。
软件供应链管理实践:理想与现实
- 主观调查反馈和客观数据之间存在脱节。人们相信他们很好地修复了有缺陷的部件,并表明他们了解风险所在。客观来说,研究表明,许多开发团队缺乏结构化的指导,经常做出关于软件供应链管理的次优决策。
参考链接:
- https://blog.sonatype.com/2021-state-of-the-software-supply-chain
来源:TerryChu1
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!