受 Log4j 等安全因素影响,40% 的业内人士缩减了开源使用规模


数据科学公司 Anaconda 最新发布的一项 2022 数据科学状况调查报告指出,大约 40% 的行业专业人士表示,出于对安全性的担忧,他们的组织减少了对开源软件的使用。该调查持续时间为 2022 年 4 月 25 日至 5 月 14 日,基于来自 133 个国家和地区的 3493 参与者所提供的信息,人群涵盖学者、行业专业人士和学生。其中大约 16% 的受访者被认定为数据科学家。

数据显示,大约 33% 的接受调查的行业专业人士表示他们没有缩减开源,7% 的人表示他们增加了使用量,20% 的人表示不确定。剩下的 40% 的人则表示进行了缩减。不过缩减规模并不意味着停止,87% 的商业受访者表示他们的组织仍然允许使用开源。

在 2021 年有 65% 的商业受访者表示他们的团队被鼓励为开源项目做出贡献,其中大多数 (54%) 表示,他们的雇主通过增加与开源项目相关的资金来授权他们为开源做出贡献开源项目开发。但今年只有 51.99% 的商业受访者表示他们的团队被鼓励为开源项目做出贡献——同比下降约 13%。

报告指出,这可能是出于安全考虑。这些受访者中的大多数 (54.04%) 表示,他们的雇主正通过增加专门用于为开源项目做贡献的时间,来授权他们为开源做贡献。在有关 OSS 吸引人的优势方面,可负担性 (20.84%) 和创新速度 (20.54%) 在回答占比中名列前茅。

不过,似乎有很多人正在寻求降低依赖过多开源依赖项的风险。Anaconda 报告发现,诸如 Log4j 之类的事件和“protestware”的报告促使开源软件的用户更加重视安全问题。在减少使用开源的 40% 的人中,超过一半是在受到了 Log4j 影响之后采取的行动。约有 31% 的受访者表示,安全漏洞是目前开源社区的最大挑战。

Anaconda 称,大多数组织都在使用开源软件;但在表示不使用的 8% 的受访者中,有一半以上(54%,比去年增加了13%)将安全风险作为理由。不使用开源软件的其他原因还包括:缺乏理解(38%);对组织 IT 治理缺乏信心(29%);开源软件被认为是不安全的,因此是不允许的(28%);以及不想破坏当前的项目(26%)。

调查还指出了行业对缺乏技术技能的担忧,大多数(62.51%)商业受访者表示,他们的组织至少对人才短缺的潜在影响有一定程度的担忧。只有 10.43% 的人表示他们的组织根本不关心。

Python 仍然是数据科学类型的首选语言。在受访者中,31% 的人表示他们“一直”在使用该语言,27% 的人“经常”使用。相比之下,Julia 的占比分别为 3% 和 12%。

更多详情可查看完整报告。


相關推薦

2023-10-27

以及公司如何优化云成本,以及常见漏洞和暴露 (CVE) 的安全注意事项。 结果表明,Java 的采用依然强劲,98% 的受访者表示在他们的软件应用程序或基础架构中使用了 Java。其中 57% 的受访者表示,他们至少 60% 的应用程序是基

2021-12-21

来自 Google Open Source Insights Team 的安全研究人员通过调查 Maven Central 中所有软件包的所有版本,以更好地了解最近曝出的 Log4j 漏洞对整个 JVM 语言生态系统的影响,同时还跟踪了正在进行的缓解受影响软件包的工作。 研究人

2022-04-14

能够在强大社区的支持下实现清晰的治理,从而主动降低安全风险并提高技术效率和互操作性。FOSS 用户也可以不受限制地轻松迁移到云或跨云。 FOSS 带来了成本节约、代码自由和强大的创新社区。 受访者将降低成本 (45%)、

2022-11-03

互联网安全公司 SonicWall 最新发布了一份 2022 年网络威胁报告,基于 215 个国家和地区的超过一百万个全球传感器收集的数据,探讨了安全专业人员需要关注的一些危险的趋势。报告指出: 2022 年上半年记录了 28 亿次

2021-12-16

​近日,openLooKeng注意到Apache Log4j2反序列化远程代码执行漏洞(CVE ID为CVE-2021-44228),并修复失败。详细方案如下,建议所有用户不要升级。 Apache Log4j2远程代码执行漏洞修复解决方案 【漏洞描述】 Apache Log4j2是一个基于J

2021-12-29

3.2 和 2.12.4 Apache Log4j2 2.0-beta7 到 2.17.0 版本(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行(RCE)攻击,其中有权修改日志配置文件的攻击者可以构建恶意配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该

2021-12-17

布: Apache Log4j 2.16.0 已发布 Apache Log4j 2.15.0 发布,安全漏洞已得到解决 不过安全公司 Praetorian 的研究人员昨日表示,2.15.0 存在一个更严重的漏洞——信息泄露漏洞,可用于从受影响的服务器下载数据。 与此同时

2023-02-08

球领先公司各个部门的创新。 但开源软件仍存在一些安全性、技能缺乏以及后续技术支持方面的问题。有超 40 % 的技术经理认为,开源软件存在安全性和合规性问题;近 40% 的使用开源软件的团队缺乏测试、使用或整合该软件

2024-10-21

大模型。 此次事件暴露出字节跳动技术训练中存在的安全管理问题,包括权限隔离、共用代码的审计等。一位行业人士对记者表示,进行权限隔离与审计利于保护公司核心数据与知识产权,防止数据泄漏,提高数据与系统的

2021-12-23

活动,并警告我们的合作伙伴,” 能影响到国家信息安全层面,Log4j 相关的漏洞严重性不言而喻。 除了比利时,据以色列的网络安全解决方案提供商 Check Point Software Technologies 称,一群与伊朗政权有关的黑客(被称为 Charming K

2022-11-30

%) 能源 (33%) 银行和金融服务 另一方面,2023 年的网络安全问题也依旧是各方关注的重点。数据表明,2022 年上半年,全球共发生 28 亿次恶意软件攻击和 2.361 亿次勒索软件攻击。截至 2022 年底,预计将发起 60 亿次网络钓鱼攻

2021-12-20

,且在刚发布的 Log4j 2.17.0 (Java 8) 中得到了修复。如果把安全公司 Praetorian 发现的第三个信息泄露漏洞也算进去,这应该是 Log4j 的第四个漏洞了。 漏洞详情 Apache Log4j2 版本 2.0-alpha1 到 2.16.0 没有防止自引用查找的不受控制

2021-12-16

洞 CVE-2021-44228,对众多组织都造成了影响。对此,网络安全专家认为,鉴于该漏洞的普遍性和易于利用性,将需要花费数百年的时间才能完全解决这一隐患。而这数百年将会有多少程序员入土? McAfee Enterprise 和 FireEye 的高

2023-06-09

广东省内故障。 该问题在广大社交平台上引起热议,受影响的电信用户反馈,首先是信号关停,然后恢复到 2G 网络,但迟迟未能恢复到 4G 或 5G 网络。 电信号码拨打电话未能接通,固定电话也受到影响。 “中国电信”词