开源网络攻击增加 650%，热门项目更容易受到攻击

Sonatype 发布的一份报告显示，开源供需动态持续强劲增长，但开源安全风险也出现暴增，上游公共存储库的供应链攻击同比增长 650% ，流行项目版本漏洞更多，更容易受到攻击。

根据对 702 名软件工程专业人士收集的调查回复，人们对软件链管理实践的主观信念与 10万个应用程序测量的客观结果之间存在根本性脱节。

该报告分析了与 Java (Maven Central)、JavaScript (npmjs)、Python (PyPI) 和 .Net (nuget) 生态系统相关的运营供应、需求和安全趋势。此外，研究人员还研究了从开发人员在过去 12 个月内进行的 10万个生产应用程序和 400万个组件迁移中收集的软件工程实践。

开源供应、需求和安全动态

• 供应量增加了 20%。排名前四的开源生态系统现在包含总共 37,451,682 个不同版本的组件。
• 需求增加了 73%。2021 年，全球开发者将从前四大生态系统下载超过 2.2 万亿个开源包。
• 攻击增加了650%。2021 年，世界目睹了旨在利用上游开源生态系统弱点的软件供应链攻击呈指数级增长。
• 生产应用程序仅使用 6% 的可用项目。尽管有大量可用的开源项目，但利用率却集中在数量惊人的热门项目上。
• 热门项目更容易受到攻击。29% 的流行项目版本至少包含一个已知的安全漏洞。相反，只有 6.5% 的非流行项目版本这样做，这表明安全研究人员专注于最常用的项目。

确定最佳开源项目的经验指标

• 具有更快平均更新时间 (MTTU) 的项目更安全。发现它们具有漏洞的可能性要低 1.8 倍。
• 受欢迎程度并不是安全性的良好预测指标。流行的开源项目包含漏洞的可能性是其他项目的 2.8 倍。

开发团队之间的依赖管理实践差异很大

• 在更新第三方依赖项时，软件开发人员有 69% 的时间会做出次优选择。较新版本的项目通常更好，但并不总是最好的。
• 商业工程团队只管理他们使用的 25% 的组件，使得他们的大部分开源依赖项过时并且容易受到增加的安全风险的影响。
• 自动化每年可为组织节省 192,000 美元。配备智能自动化，一个拥有 20 个应用开发团队的中型企业每年将节省 160 个开发人员日。

软件供应链管理实践：认知与现实

主观调查反馈和客观数据之间存在脱节。人们相信他们在修复有缺陷的组件方面做得很好，并表示他们了解风险所在。客观上，研究表明开发团队缺乏结构化的指导，并且经常在软件供应链管理方面做出次优决策。

“今年的软件供应链状况报告再次表明，开源如何既是数字创新的关键燃料，又是软件供应链攻击的成熟目标，” Sonatype执行副总裁马特霍华德说。

“虽然开发人员对开源的需求继续呈指数级增长，但我们的研究首次表明，实际使用的总体供应量很少。此外，我们现在知道流行的项目包含不成比例的更多漏洞。这一严峻的现实凸显了工程领导者接受智能自动化的关键责任和机会，以便他们能够标准化最佳开源供应商，同时帮助开发人员保持第三方库的最新和最新的最佳版本。”