Sonatype 发布了最新的源安亿开源攻 2021 年软件供应链状况报告,共研究了 10 万个生产应用和 400 万个由开发者进行的装包组件迁移,以及与 Java(Maven Central)、下载JavaScript(npmjs)、超万长Python(PyPI)和 .Net(nuget)生态系统相关的击增供应、需求和安全趋势。年开一些亮点内容如下:
[[424584]]
供应量增加了 20%。装包排名前四的开源生态系统现在包含总共 37,451,682 个不同版本的组件。这些社区在过去一年中总共发布了 6,302,733 个新版本的组件/包,并推出了 723,570 个全新项目,以支持全球 2700 万开发人员。
开发者对开源的需求同比增长 73%。2021 年,全球开发者将从前四大生态系统下载超过 2.2 万亿个开源安装包。不过尽管下载量不断增长,但在生产应用中使用的可用组件的比例却低得令人震惊。
开源攻击增加了 650%。2021 年,世界目睹了旨在利用上游开源生态系统弱点的软件供应链攻击呈指数级增长。
生产应用仅利用了 6% 的可用开源项目。尽管有大量可用的开源项目,但利用率却集中在数量惊人的热门项目上。
流行的开源项目更容易受到攻击。29% 的流行项目版本至少包含一个已知的安全漏洞。相反,只有 6.5% 的非流行项目版本如此,这表明安全研究人员(黑帽和白帽)都集中在使用率最高的项目上。
Sonatype 方面指出,今年的软件供应链状况报告再次表明,开源既是数字创新的关键燃料,也是软件供应链攻击的成熟目标。虽然开发者对开放源代码的需求继续成倍增长,但研究表明,整个供应量中真正被利用的却极少。 此外,流行项目含有不成比例的更多漏洞。这个严峻的现实突出了工程领导的重要责任和机会,即拥抱智能自动化;以便他们能够标准化最佳开源供应商,并同时帮助开发人员保持第三方库的新鲜度和最佳版本的更新。
一些开源项目比其他项目更好
开发团队之间的依赖性管理实践差异很大
完整报告可查看
本文转自OSCHINA
本文标题:2021 年开源安装包下载量将超 2.2 万亿,开源攻击增长 650%
本文地址:https://www.oschina.net/news/160643/2021-state-of-the-software-supply-chain
责任编辑:未丽燕 来源: 开源中国 开源安全漏洞开发者(责任编辑:百科)
中国原油期货首日交易集合竞价成交261手 成交价格440元/桶
青海省财政厅完善财政支持生态环境保护政策体系 助力绿色产业发展
上半年券商揽入承销保荐费221亿元 5家投行业务净收入加入10亿元俱乐部
兴胜创建(00896.HK)因行使购股权配发1090.9万股 每股发行价1.16港元
央行上海总部:10月人民币存款增加3311亿元 住户存款减少72亿元
东山精密拟19亿元收购FLEX下属PCB制造业务 合称为Multek