Sonatype：1/8的开源组件存在已知漏洞，越来越多开源项目停止维护

近日，Sonatype发布了最新的《软件供应链状况》报告，深入探讨了如何在充满选择的世界中定义更好的软件，并探究了 AI 对软件开发的深远影响。此外，还研究了开源供应、需求和安全之间错综复杂的相互作用，阐明了监管部门应对网络安全风险而采取的措施等内容。

据悉，报告跟踪了Java（Maven）、JavaScript（npm）、Python（PyPI）、.NET（NuGet Gallery）四大开源生态系统的开源应用增长情况。2022年至2023年间，开源项目的数量平均增长了29%。

2023年，开源项目平均发布了15个可供使用的版本，不同开源注册中心的特定生态系统平均有10到22个版本。这意味着每个月都会发布1-2个新版本，在观察到的生态系统中总共发布了6000万个新版本。每个受检测的生态系统都表现出一致的项目增长率，平均同比增长29%。

但随着开源组件供应量的不断增长，用户群体数量并没有跟上步伐。在过去两年中，下载量增长率逐步下降。2023年的平均增长率为33%，与2021年73%的增长率相比大幅下降。

在安全方面，开源项目的安全问题并没有放缓的迹象。截至2023年9月，研究团队共发现了245032个恶意软件包，是往年总和的2倍。八分之一的开源下载存在已知风险，且仍有23%的Log4j下载存在严重漏洞。

在项目维护方面，相关开源项目的维护活动越来越少。研究表明，去年有近五分之一（18.6%）的项目停止维护，影响了Java和JavaScript生态系统。只有11%的开源项目实际上得到了积极维护。尽管存在这些缺陷，但Sonatype仍然表示，近96%存在已知漏洞的组件下载可以通过选择“无漏洞版本”来避免。

在软件供应链成熟度方面，软件物料清单（SBOM）的需求正在上升，相关软件的“安全优势”愈发突出。不过考虑到软件供应商自我报告的成熟度水平，与第三方评估的软件成熟度水平存在显著差距，Sonatype 认为，需要以中立第三方的方式对各软件供应链成熟度进行评估。

在AI方面，接受调查的DevOps和SecOps领导者中有97%表示，他们目前在工作流程中某种程度上使用了人工智能，大多数人每天使用两个或更多工具。去年，企业环境中AI和ML组件的采用率增加了135%。

研究还发现，企业自认为的安全程度与实际情况之间存在脱节。67%的公司表示，他们确信自己的系统中没有来自漏洞库的代码，但今年有10%的公司因漏洞组件而遭遇安全漏洞。39%的公司可以在1-7天的时间内发现漏洞，29%的公司需要一周以上的时间，28%的公司只需要不到一天的时间。

更多详情可查看完整报告：

https://www.sonatype.com/state-of-the-software-supply-chain/introduction