受 Log4j 等安全因素影响,40% 的业内人士缩减了开源使用规模


数据科学公司 Anaconda 最新发布的一项 2022 数据科学状况调查报告指出,大约 40% 的行业专业人士表示,出于对安全性的担忧,他们的组织减少了对开源软件的使用。该调查持续时间为 2022 年 4 月 25 日至 5 月 14 日,基于来自 133 个国家和地区的 3493 参与者所提供的信息,人群涵盖学者、行业专业人士和学生。其中大约 16% 的受访者被认定为数据科学家。

数据显示,大约 33% 的接受调查的行业专业人士表示他们没有缩减开源,7% 的人表示他们增加了使用量,20% 的人表示不确定。剩下的 40% 的人则表示进行了缩减。不过缩减规模并不意味着停止,87% 的商业受访者表示他们的组织仍然允许使用开源。

在 2021 年有 65% 的商业受访者表示他们的团队被鼓励为开源项目做出贡献,其中大多数 (54%) 表示,他们的雇主通过增加与开源项目相关的资金来授权他们为开源做出贡献开源项目开发。但今年只有 51.99% 的商业受访者表示他们的团队被鼓励为开源项目做出贡献——同比下降约 13%。

报告指出,这可能是出于安全考虑。这些受访者中的大多数 (54.04%) 表示,他们的雇主正通过增加专门用于为开源项目做贡献的时间,来授权他们为开源做贡献。在有关 OSS 吸引人的优势方面,可负担性 (20.84%) 和创新速度 (20.54%) 在回答占比中名列前茅。

不过,似乎有很多人正在寻求降低依赖过多开源依赖项的风险。Anaconda 报告发现,诸如 Log4j 之类的事件和“protestware”的报告促使开源软件的用户更加重视安全问题。在减少使用开源的 40% 的人中,超过一半是在受到了 Log4j 影响之后采取的行动。约有 31% 的受访者表示,安全漏洞是目前开源社区的最大挑战。

Anaconda 称,大多数组织都在使用开源软件;但在表示不使用的 8% 的受访者中,有一半以上(54%,比去年增加了13%)将安全风险作为理由。不使用开源软件的其他原因还包括:缺乏理解(38%);对组织 IT 治理缺乏信心(29%);开源软件被认为是不安全的,因此是不允许的(28%);以及不想破坏当前的项目(26%)。

调查还指出了行业对缺乏技术技能的担忧,大多数(62.51%)商业受访者表示,他们的组织至少对人才短缺的潜在影响有一定程度的担忧。只有 10.43% 的人表示他们的组织根本不关心。

Python 仍然是数据科学类型的首选语言。在受访者中,31% 的人表示他们“一直”在使用该语言,27% 的人“经常”使用。相比之下,Julia 的占比分别为 3% 和 12%。

更多详情可查看完整报告。


相关文章

2022-04-14

能够在强大社区的支持下实现清晰的治理,从而主动降低安全风险并提高技术效率和互操作性。FOSS 用户也可以不受限制地轻松迁移到云或跨云。 FOSS 带来了成本节约、代码自由和强大的创新社区。 受访者将降低成本 (45%)、

2021-12-21

来自 Google Open Source Insights Team 的安全研究人员通过调查 Maven Central 中所有软件包的所有版本,以更好地了解最近曝出的 Log4j 漏洞对整个 JVM 语言生态系统的影响,同时还跟踪了正在进行的缓解受影响软件包的工作。 研究人

2021-12-16

​近日,openLooKeng注意到Apache Log4j2反序列化远程代码执行漏洞(CVE ID为CVE-2021-44228),并修复失败。详细方案如下,建议所有用户不要升级。 Apache Log4j2远程代码执行漏洞修复解决方案 【漏洞描述】 Apache Log4j2是一个基于J

2021-12-29

3.2 和 2.12.4 Apache Log4j2 2.0-beta7 到 2.17.0 版本(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行(RCE)攻击,其中有权修改日志配置文件的攻击者可以构建恶意配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该

2021-12-17

布: Apache Log4j 2.16.0 已发布 Apache Log4j 2.15.0 发布,安全漏洞已得到解决 不过安全公司 Praetorian 的研究人员昨日表示,2.15.0 存在一个更严重的漏洞——信息泄露漏洞,可用于从受影响的服务器下载数据。 与此同时

2022-08-12

ript 成为 CircleCI 上最常用的语言的原因在于:首先,类型安全使开发人员能够在他们的 IDE 中或在编译时而不是在运行时捕获错误,从而降低将错误传送到生产中的风险。通过使代码更易于阅读、重构和共享,类型还支持跨项目

2021-12-23

活动,并警告我们的合作伙伴,” 能影响到国家信息安全层面,Log4j 相关的漏洞严重性不言而喻。 除了比利时,据以色列的网络安全解决方案提供商 Check Point Software Technologies 称,一群与伊朗政权有关的黑客(被称为 Charming K

2021-12-20

,且在刚发布的 Log4j 2.17.0 (Java 8) 中得到了修复。如果把安全公司 Praetorian 发现的第三个信息泄露漏洞也算进去,这应该是 Log4j 的第四个漏洞了。 漏洞详情 Apache Log4j2 版本 2.0-alpha1 到 2.16.0 没有防止自引用查找的不受控制

2021-12-16

洞 CVE-2021-44228,对众多组织都造成了影响。对此,网络安全专家认为,鉴于该漏洞的普遍性和易于利用性,将需要花费数百年的时间才能完全解决这一隐患。而这数百年将会有多少程序员入土? McAfee Enterprise 和 FireEye 的高

2021-12-24

美国网络安全和基础设施安全局 (CISA) 主任 Jen Easterly 和国土安全部部长 Alejandro Mayorkas 宣布扩大其“Hack DHS”漏洞赏金计划,现在与 Log4j 相关的漏洞也包含在此计划中。 Hack DHS 是美国国土安全部 (DHS)在12月14日推出的一项

2022-03-31

引入易受攻击的代码,再进行漏洞攻击 ...而据郑州网络安全协会,甚至还有人打着 Poc 的幌子钓鱼... 截至发稿时间,Spring 团队没有对该漏洞发表任何官方公告:的最新漏洞公告是 和 ,但这两个漏洞的严重程度都是中等,无

2021-12-20

为修复错误的时间提供 ETA,但团队已经意识到存在这个安全问题。” 根据介绍,Xcode 确实包含了一个 Java 运行环境 -- App Store 的上传一直在其交付机制中使用 Java 工具,并提供了一个 Java 运行环境:% /Applications/Xcode.app/Conte

2022-05-19

未来 中国工程院院士沈昌祥为大会致辞,他表示,构建安全可信的开源操作系统和中国主导的根社区是我国网络空间安全发展的必然要求。 中国工程院院士沈昌祥致辞 “统信软件作为中国领先的操作系统企业,有很强的主

2022-02-14

的代码库,具有不兼容的 API。但即便如此,一些自动化安全工具仍然将他们使用的“旧”版本 Log4j 标记为安全漏洞。 据介绍,IntelliJ 对日志框架的要求相当低,其需要的唯一功能是记录到文件和控制台,以及为代码库的不同