1/8 的开源下载包含已知漏洞,开源项目的积极维护减少


Sonatype 发布了最新的一份《软件供应链状况》报告,深入探讨了如何在充满选择的世界中定义更好的软件,并探讨人工智能 (AI) 对软件开发的深远影响;还研究了开源供应、需求和安全之间错综复杂的相互作用。

报告跟踪了 Java (Maven)、JavaScript (npm)、Python (PyPI)、.NET (NuGet Gallery) 四大开源生态系统的开源应用增长情况。2022 年至 2023 年间,可用开源项目的数量平均增长了 29%。2023 年,开源项目平均发布了 15 个可供使用的版本,不同开源注册中心的特定生态系统平均有 10 到 22 个版本。这意味着每个月都会发布 1-2 个新版本,在观察到的生态系统中总共发布了 6000 万个新版本。

每个受检测的生态系统都表现出一致的项目增长率,平均同比增长率高达 29%。

但随着开源组件供应量的持续增长,其需求却未能与之同步。在过去两年中,下载量的增长率逐渐下降。2023 年的平均增长率为 33%,与 2021 年 73% 的增长率相比大幅下降。

与此同时,开源软件安全问题没有放缓的迹象。截至 2023 年 9 月,研究团队共发现了 245,032 个恶意软件包,是往年总和的 2 倍。八分之一的开源下载存在已知风险,且仍有 23% 的 Log4j 下载存在严重漏洞。

开源项目的主动维护也变得越来越少。研究表明,去年有近五分之一(18.6%)的项目停止维护,影响了 Java 和 JavaScript 生态系统。只有 11% 的开源项目实际上得到了积极维护。尽管存在这些缺陷,但 Sonatype 仍然表示,近 96% 存在已知漏洞的组件下载可以通过选择无漏洞版本来避免。

就软件开发中的人工智能而言,97% 的受访 DevOps 和 SecOps 领导者表示,他们目前在工作流程中某种程度上使用了人工智能,大多数人每天使用两个或更多工具。去年,企业环境中 AI 和 ML 组件的采用率增加了 135%。

研究还发现,企业自认为的安全程度与实际情况之间存在脱节。67%的公司表示,他们确信自己的系统中没有来自漏洞库的代码,但今年有10%的公司因漏洞组件而遭遇安全漏洞。39% 的公司可以在 1 到 7 天的时间内发现漏洞,29% 的公司需要一周以上的时间,28% 的公司只需要不到一天的时间。

更多详情可查看完整报告。


相關推薦

2023-03-22

to Networks 等公司的 20 多位 CISO 和 CTO 合作,总结了因依赖开源软件而引入的 10 大安全和运营风险。 “尽管软件供应链严重依赖 OSS,但该行业缺乏一致的方式来理解和衡量 OSS 的风险。OSS 中的风险管理从许可证管理开始,然后

2022-10-01

为推动社区繁荣发展,打造开源操作系统创新生态,openKylin社区在积极持续开展各种技术研究和创新。其中,9月份社区新增SIG小组9个,覆盖智能应用、基础硬件、云端融合、人机交互、互联协同等领域,目前共计有47个SIG组在

2023-02-25

应用安全公司 Synopsys 最新发布的 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis,OSSRA) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。 2023 OSSRA 报告基于对并购交易中涉及

2022-08-29

Google 近日正式开源了 Paranoid ,这是一个用于识别加密制品(cryptographic artifacts)中常见漏洞的项目。 Paranoid 支持测试多个加密制品,其中包括如数字签名、通用伪随机数和公钥,以识别由编程错误或使用弱的专有随机数生成

2022-11-17

为推动社区繁荣发展,打造开源操作系统创新生态,openKylin社区根据领域划分了不同的SIG组,并积极开展各种技术研究和创新。其中,10月份社区新增SIG小组5个,共有52个SIG组在运行,接下来,让我们一起盘点10月份openKylin社区SI

2022-09-08

洞数据库 (https://vuln.go.dev) 是一个综合性的信息源,其中包含公共 Go module 中可导入包的已知漏洞。这些漏洞数据的上游也有其来源,例如 CVE 和 GHSA,以及 Go 软件包维护者的直接报告。Go 安全团队获取到这些数据后会进行审查,

2022-10-15

以开源软件为基础构建信息系统成为主流趋势,开源软件迭代快、安全开发机制欠缺、维护人员不足等现状,导致全球开源安全事件频发,威胁着使用者信息安全,也带来了隐私信息泄露的风险。因此,开源安全风险已成为全球

2022-10-14

包版本 搜狗拼音输入法 sogoupinyin 4.0.1.2800 霞鹜文楷 开源字体 fonts-lxgw-wenkai 1.235.2+repack-1 铅笔字形楷体,该软件包也已经提交 Debian 官方,目前在审核中。 WPS 办公 wps-office 11.1.0.11664 钉钉 com.alibabainc.dingtalk 1.4.0.20425 Goog

2024-07-08

。 KVM 是一款强大的虚拟机管理程序,拥有超过 15 年的开源开发历史,广泛应用于消费者和企业领域,包括 Android 和 Google Cloud 等平台。作为 KVM 的积极和关键贡献者,谷歌开发了 kvmCTF 作为协作平台来帮助识别和修复漏洞,从

2023-11-15

软件 下载 新闻 使用技巧 常见问题 参与开发 开源贡献 友情链接 捐赠 反馈 联系方式 《铜豌豆 Linux》12.2.1 版本发布 2023-11-12 《铜豌豆 Linux》操作系统是面向中文用户的桌面操作系统,基于 Debian 制作。

2024-06-29

全中心合作,制作了一份联合指南,为企业提供有关选定开源软件 (OSS) 中内存安全风险规模的调查结果。 “本指南以内存安全路线图为基础,为软件制造商提供了一个创建内存安全路线图的起点,包括解决外部依赖项(通常

2024-10-17

一些在开源软件社区拥有丰富经验的专家分享了关于如何维持这一关键生态系统的看法。 世界已经开始依赖数百万熟练的软件开发人员-- FOSS 项目的维护者--的免费工作。但是,世界却没有给他们一点小费。诚然,许多开源

2022-09-30

i-Cloud 全方位升级(不兼容原框架) 项目代码、文档 均开源免费可商用 遵循开源协议在项目中保留开源协议文件即可 活到老写到老 为兴趣而开源 为学习而开源 为让大家真正可以学到技术而开源 功能介绍 使用技术

2023-02-11

下载地址:https://transmissionbt.com/download Transmission 是开源的 BitTorrent 客户端,支持 macOS、Windows 和 Linux 平台。特点是具有简洁且美观的界面、速度快、轻量、保护隐私,还具有其他众多丰富功能。 主要变化 优化资