第9年度软件供应链安全报告-英

第 9 届年度Stateof软件the供应链Sonatype 的行业定义研究开源、软件开发和软件供应链安全的快速变化PRESENTED BY 第九个软件供应链的年度状态报告2ContentsIntroduction....................................................3供应链由数字...................................................4开源供应,需求 ， 以及安全.............................................5减速................................................................................8开源软件安全没有任何担忧的迹象减速.................................................10值得注意的恶意软件包and漏洞.............................................................................11区分软件脆弱性和恶意软件............................................................12有助于安全问题 12脆弱的全球观点开源下载 16CH AP TE R 2开源安全Practices.........................................17记分卡检查分数的状态 18维护的重要性 21Year - over - Year差异........................................................21结论 22CHAPTER 3开源现代化依赖关系管理..................................................23开源消费者不支付注意..................................................................24什么使一个最佳开源组件?..................................................................26了解组件升级紧迫性..................................................................27通过升级下载紧迫性....................................................29全球开放模式源头消费行为..................................................................31CH AP TE R 4软件供应链成熟度.........................................34软件供应链成熟度 - 同行洞察力......................................................35今天有多成熟软件供应锁链?..............................................................36如何提供软件连锁管理趋势改变?......................................................37CH AP TE R 5软件供应链的建立与扩展法规和标准...................................................42UnitedStates..............................................................43欧洲接头...................................................................46加拿大............................................................47全球伙伴关系................................................................47是软件供应链条例工作吗 ？ 48导航策略边界 ：全球网络安全法规...........................................................49CH AP TE R 6软件中的 AIDevelopment...................................51Sonatype 的风险 &AI 调查的奖励 52AI 的交集和软件发展....................................................................52导航关注 53AI 的开源工具包 ：重点关注的组件和模型 55结论 ： 合作的未来 59关于分析..........................................................60Acknowledgements...........................................61 第九个软件供应链的年度状态报告3Introduction在当今快节奏的世界中，追求卓越是不懈的旅程。我们都理解创新、效率和核心的个人的重要性 ： 开发者。从我们过去的八个状态的软件供应链报告中，我们知道，当开发人员能够获得更好的工具和更好的开源组件时，他们的生产力就会飙升，使他们成为更好的安全性和更好的产品背后的驱动力。但是，在不断扩展的技术选择格局中，“更好 ” 到底意味着什么 ？ 这个问题在某种程度上是我们过去九年来一直在研究软件供应链的原因。在我们发布本软件供应链状况报告的第 9 版时，这个问题比以往任何时候都更加重要。当我们探索如何制造 “更好 ” 的软件时，不仅仅是介绍。人工智能或尖端技术 ； 它是关于解决在许多方面九年来没有改变的基本问题。它是关于我们软件供应链中经常被忽视但至关重要的元素 ： 开源消费行为。我们的目标是筛选软件组件的迷宫市场 ， 而不是增加选择的杂音 ， 而是简化它。为什么 ？ 因为选择是一把双刃剑。选择不当的后果是深远的。考虑一下 - 去年 ， 我们发现 Maven Central 中有惊人的 85 ％ 的项目- Java 开源组件的最大公共存储库 - 处于非活动状态。换句话说，开发人员面临着一系列令人困惑的选择，其中只有一小部分会导致活跃的、维护良好的项目。然而，我们还发现，并在今年再次确认，来自 Mave Cetral 的所有易受攻击的下载中有 96 ％ 具有已知的修复程序。有这么多的选择，只有使用正确的工具，正确的自动化，才能真正为成功设置开发人员。当我们剖析开源采用和消费的复杂性时 ， 我们验证了一个支离破碎的事实 - 开发实践仍然普遍存在不一致。当选择做得不好时 ， 这种不一致会导致风险增加 ， 开发人员的不满 ， 也许最重要的是 ， 时间和金钱的损失。每年的软件供应链状况报告不仅是一个警示故事，而且是一个行动呼吁。这是对迫切需要重新定义我们的优先事项的回应，也是对我们愿意发展的证明。我们正处于革命时期。现代化是我们的盟友。法规几乎在每个地区都是重点，不确定的经济环境要求节省成本和提高效率，恶意活动比以往任何时候都更加突出，是时候改变了。在以下页面中 ， 我们将为您提供有关开源使用趋势和安全实践的深入更新。我们将继续从公共和专有数据源中提取 ， 以说明有效供应链管理的许多问题。我们将查看 ：▶软件供应链的持续发展以及持续的安全问题▶使用维护良好的开源软件包的优点▶开源消耗和组件升级紧迫性的趋势▶ 对使用 SBOM 和成熟软件供应链管理的同行见解▶开源和软件供应链法规的兴起▶AI 和 ML 在协助开发人员方面扮演什么角色 ， 以及 AI 从业者在开发 AI 产品方面面临的挑战我们还研究了拥有软件材料清单 （ SBOM ） 和软件成分分析 （ SCA ） 程序的真正含义 ， 并最终阐明了实现更高效 ， 更具成本效益和安全开发的道路。 软件状态按数字划分的供应链1 in 8开源下载有已知风险245,000发现的恶意软件包 - 前几年加起来是 2 倍18.6%2022 年维护的跨 Java 和 JavaScript 的开源项目 ， 今天不再维护96%易受攻击的下载版本中有一个固定版本可用对于每个非最佳组件升级 ， 通常都提供高级版本的组件当与最佳升级配合使用时 ， 良好的数据每年为您节省两倍的时间或每个应用程序近 1.5 个月的时间。135%过去一年 ， 公司环境中 AI 和 ML 组件的采用有所增加67%调查受访者认为他们的应用程序不依赖于已知的易受攻击的库 ， 尽管 10% 的受访者报告他们的组织在过去 12 个月中由于开源漏洞而存在安全漏洞第九个软件供应链的年度状态报告4102x CHAPTER 1开源供应、需求和安全 第九个软件供应链的年度状态报告6一位名叫索尔兹伯里约翰的和尚在 12 世纪写了一个著名的短语手稿， 由艾萨克 · 牛顿爵士和其他数百人借用 ：“我们就像坐在巨人肩膀上的矮人。我们比他们看到的更多 ， 更遥远的东西 ， 不是因为我们的视力优越或因为我们比他们高 ， 而是因为他们使我们振作起来 ， 并通过他们的身材增加了我们的身材。 ”这段话的意思很简单 ： 我们取得的进步只是因为在学习和理解别人方面取得了进步。除了采用开源之外 ， 没有其他地方可以看到这种情况。今天发布的几乎所有软件都依赖于以前的创新 ， 这些创新是在世界上最优秀的专家构建的脚手架上免费分发的 ， 所有开发人员都可以免费使用。在过去的软件供应链状态报告中 ， 我们估计在生产中运行的代码中有多达 90 ％ 是开源起源。因此 ， 开源的经济学是更广泛的软件市场趋势和挑战的良好指标。连续第 9 年 ， 我们继续跟踪四大主要开源生态系统中开源采用率的增长。这些语言总共占世界五大语言中的四种。GitHub， 根据 PYPL 语言流行度指数 ， 最受欢迎的编程语言中有 60% 的份额1.利用我们的持续监测 ， 我们在下表中列出了每个生态系统的综合统计数据。图 1.1预计 2023 年开放来源采用TotalTotal2023 年度请求下载同比增长平均版本生态系统Projects项目版本体积估算YoY 项目增长Estimate按项目发布Java (Maven)557k12.200 M1.0 T28%25%22JavaScript (npm)2.5 M37M2.6 T227%18%15Python (PyPI)475k4.8 M261B328%31%10. NET (NuGet 库)367k6M162B428%43%17总计 / 平均值3.9 M60M4T29%33%151https: / / pypl. github. io / PYPL. html2023 年 8 月访问2从 https: / / github. com / npm / registry / blob / master / docs / download - counts. md 查询 ， 使用 npm 下载计数估算到 2023 年 1 月至 8 月的数字3根据从 https: / / console. cloud. google. com / marketplace / product / gcp - public - data - pypi / 查询到的 2023 年 1 月至 8 月的已知 PyPI 下载 ， 估计同比增长4根据从 https: / /