开源需求增加了73%，越受欢迎的项目越容易受到攻击 | 2021年软件供应链报告

整理 | 祝涛

出品 | CSDN（ID：CSDNnews）

“开源供应增加了20%，开源需求增加了73%，开源攻击增加了650%。”

“只有6%的可用开源项目被使用。”

“越受欢迎的开源项目越容易受到攻击。”

“平均更新时间(MTTU)更快的项目更安全。”

“自动化每年能为企业节省19.2万美元和160个开发日的时间。”

以上是Sonatype经过研究调查得出的结论。Sonatype是一个软件组合分析(SCA)平台，公司通过它来分析公共和私有代码库，并评估它们的安全性和依赖性缺陷。

在一年的时间里，Sonatype研究了包括10万个生产应用程序和400万个组件迁移，以及与Java (Maven Central)、JavaScript (npmjs)、Python (PyPI)和.Net (nuget)生态系统相关的运营供应、需求和安全趋势，以下是Sonatype发布的2021年软件供应链状况报告。

开源供应、需求和安全漏洞都出现了爆炸性增长

• 开源供应增加20%。前四大开源生态系统现在包含37,451,682个不同版本的组件。

• 开源需求增长了73%。到2021年，世界各地的开发者从前四大生态系统下载了超过2.2万亿的开源软件包。

• 开源攻击增加了650%。2021年，针对开源生态系统弱点的软件供应链攻击呈指数级增长。

• 只有6%的可用开源项目被使用，利用率不高。尽管有大量的开源项目可用，但使用率却集中在少数受欢迎的项目中。

• 越受欢迎的开源项目越容易受到攻击。Sonatype的最新报告还发现，安全漏洞普遍存在于受欢迎的项目中。在四个开源生态系统（Java、JavaScript、Python和.NET）中排名前10%的项目里，其中29%的项目都至少包含一个已知的安全漏洞。在其余90%的“不受欢迎”项目中，只有6.5%的项目包含至少一个已知漏洞。

虽然开发人员对开源的需求继续呈指数级增长，但研究表明，从总体供应上来看，被实际使用的很少。此外，受欢迎的项目包含不成比例的漏洞。这一严酷的现实强调了工程领导人的责任和机遇，他们应该拥抱智能自动化，这样他们就可以使开源供应商标准化，同时帮助开发人员保持第三方代码库和最优版本的更新。

有些开源项目明显比其他项目好

• 平均更新时间(MTTU)更快的项目更安全。研究发现，这些项目出现漏洞的可能性要低1.8倍。

• 受欢迎程度并不代表有很好的安全性。流行的开源项目存在漏洞的可能性是普通项目的2.8倍。

开发团队之间的依赖性管理实践差异很大

• 软件开发人员在升级第三方依赖性时，有69%的可能性会做出次优选择。新版本的项目通常更好，但并不总是最好的。

• 商业工程团队只管理他们所使用的25%的组件，使得大多数开源依赖关系过时，容易受到安全风险的影响。

• 自动化每年能为企业节省19.2万美元。如果配备了智能自动化系统，一家拥有20个应用程序开发团队的中型企业每年将节省160个开发日的时间。

软件供应链管理实践：理想与现实

• 主观调查反馈和客观数据之间存在脱节。人们相信他们很好地修复了有缺陷的部件，并表明他们了解风险所在。客观来说，研究表明，许多开发团队缺乏结构化的指导，经常做出关于软件供应链管理的次优决策。

参考链接：

• https://blog.sonatype.com/2021-state-of-the-software-supply-chain