第9年度软件供应链安全报告-英

State软件 第9届年度 of the 供应链 Sonatype的行业定义研究 开源、软件开发和软件供应链安全的快速变化 PRESENTEDBY Contents Introduction3 供应链由数字4 开源供应, 需求，以及安全5 减速8 开源软件安全 没有任何担忧的迹象减速10 值得注意的恶意软件包 and漏洞11 区分软件 脆弱性和恶意软件12 有助于安全问题12脆弱的全球观点开源下载16 CHAPTER2 开源安全Practices17 记分卡检查分数的状态18 维护的重要性21 Year-over-Year差异21 结论22 CHAPTER3 开源现代化 依赖关系管理23 开源消费者 不支付注意24 什么使一个最佳 开源组件?26 了解组件 升级紧迫性27 通过升级下载紧迫性29 全球开放模式 源头消费行为31 CHAPTER4 软件供应链成熟度34 软件供应链 成熟度-同行洞察力35 今天有多成熟 软件供应锁链?36 如何提供软件 连锁管理趋势改变?37 CHAPTER5 软件供应链的建立与扩展 法规和标准42 UnitedStates43 欧洲接头46 加拿大47 全球伙伴关系47 是软件供应链 条例工作吗？48 导航策略边界： 全球网络安全法规49 CHAPTER6 软件中的AIDevelopment51 Sonatype的风险&AI调查的奖励52AI的交集 和软件发展52 导航关注53 AI的开源工具包： 重点关注的组件和模型55 结论：合作的未来59 关于分析60 Acknowledgements61 Introduction 在当今快节奏的世界中，追求卓越是不懈的旅程。我们都理解创新、效率和核心的个人的重要性：开发者。从我们过去的八个状态的软件供应链报告中，我们知道，当开发人员能够获得更好的工具和更好的开源组件时，他们的生产力就会飙升，使他们成为更好的安全性和更好的产品背后的驱动力。 但是，在不断扩展的技术选择格局中，“更好”到底意味着什么？这个问题在某种程度上是我们过去九年来一直在研究软件供应链的原因。在我们发布本软件供应链状况报告的第9版时，这个问题比以往任何时候都更加重要。当我们探索如何制造“更好”的软件时，不仅仅是介绍。 人工智能或尖端技术；它是关于解决在许多方面九年来没有改变的基本问题。它是关于我们软件供应链中经常被忽视但至关重要的元素：开源消费行为。 我们的目标是筛选软件组件的迷宫市场，而不是增加选择的杂音 ，而是简化它。为什么？因为选择是一把双刃剑。选择不当的后果是深远的。 考虑一下-去年，我们发现MavenCentral中有惊人的85 ％的项目 -Java开源组件的最大公共存储库-处于非活动状态。换句话说，开发人员面临着一系列令人困惑的选择，其中只有一小部分会导致活跃的、维护良好的项目。然而，我们还发现，并在今年再次确认，来自MaveCetral的所有易受攻击的下载中有96％具有已知的修复程序。有这么多的选择，只有使用正确的工具，正确的自动化，才能真正为成功设置开发人员 。 当我们剖析开源采用和消费的复杂性时，我们验证了一个支离破碎的事实-开发实践仍然普遍存在不一致。当选择做得不好时，这种不一致会导致风险增加，开发人员的不满 ，也许最重要的是，时间和金钱的损失。 每年的软件供应链状况报告不仅是一个警示故事，而且是一个行动呼吁。这是对迫切需要重新定义我们的优先事项的回应，也是对我们愿意发展的证明。我们正处于革命时期。现代化是我们的盟友。法规几乎在每个地区都是重点，不确定的经济环境要求节省成本和提高效率，恶意活动比以往任何时候都更加突出，是时候改变了。 在以下页面中，我们将为您提供有关开源使用趋势和安全实践的深入更新。我们将继续从公共和专有数据源中提取 ，以说明有效供应链管理的许多问题。我们将查看： ▶软件供应链的持续发展以及持续的安全问题 ▶使用维护良好的开源软件包的优点 ▶开源消耗和组件升级紧迫性的趋势 ▶对使用SBOM和成熟软件供应链管理的同行见解 ▶开源和软件供应链法规的兴起 ▶AI和ML在协助开发人员方面扮演什么角色，以及AI从业者在开发AI产品方面面临的挑战 我们还研究了拥有软件材料清单（SBOM）和软件成分分析 （SCA）程序的真正含义，并最终阐明了实现更高效，更具成本效益和安全开发的道路。 软件状态 18.6% 按数字划分的供应链 开源下载有已知 10 1in8 风险245,000 发现的恶意软件包-前几年加起来是2倍 2022年维护的跨Java和JavaScript的开源项目，今天不再维护 135% 96% 易受攻击的下载版本中有一个固定版本可用 对于每个非最佳组件升级，通常都提供高级版本的组件 2x 当与最佳升级配合使用时，良好的数据每年为您节省两倍的时间或每个应用程序近1.5个月的时间。 过去一年，公司环境中AI和ML组件的采用有所增加 67% 调查受访者认为他们的应用程序不依赖于已知的易受攻击的库，尽管10%的受访者报告他们的组织在过去12个月中由于开源漏洞而存在安全漏洞 第九个软件供应链的年度状态报告4 CHAPTER1 开源供应、需求和安全 一位名叫索尔兹伯里约翰的和尚在12世纪写了一个著名的短语手稿，由艾萨克·牛顿爵士和其他数百人借用： “我们就像坐在巨人肩膀上的矮人。我们比他们看到的更多，更遥远的东西，不是因为我们的视力优越或因为我们比他们高，而是因为他们使我们振作起来，并通过他们的身材增加了我们的身材。” 这段话的意思很简单：我们取得的进步只是因为 在学习和理解别人方面取得了进步。 除了采用开源之外，没有其他地方可以看到这种情况。今天发布的几乎所有软件都依赖于以前的创新，这些创新是在世界上最优秀的专家构建的脚手架上免费分发的，所有开发人员都可以免费使用。 在过去的软件供应链状态报告中，我们估计在生产中运行的代码中有多达90％是开源起源。因此，开源的经济学 是更广泛的软件市场趋势和挑战的良好指标。 连续第9年，我们继续跟踪四大主要开源生态系统中开源采用率的增长。 这些语言总共占世界五大语言中的四种。GitHub，根据PYPL 语言流行度指数，最受欢迎的编程语言中有60%的份额1. 利用我们的持续监测，我们在下表中列出了每个生态系统的综合统计数据。 第1章开放资源的供应和需求 图1.1 预计2023年开放来源采用 TotalTotal2023年度请求下载同比增长平均版本生态系统Projects项目版本体积估算YoY项目增长Estimate按项目发布 Java(Maven) 557k 12.200M 1.0T 28% 25% 22 JavaScript(npm) 2.5M 37M 2.6T2 27% 18% 15 Python(PyPI) 475k 4.8M 261B3 28% 31% 10 .NET(NuGet库) 367k 6M 162B4 28% 43% 17 总计/平均值 3.9M 60M 4T 29% 33% 15 1https://pypl.github.io/PYPL.html2023年8月访问 2从https://github.com/npm/registry/blob/master/docs/download-counts.md查询，使用npm下载计数估算到2023年1月至8月的数字 3根据从https://console.cloud.google.com/marketplace/product/gcp-public-data-pypi/查询到的2023年1月至8月的已知PyPI下载，估计同比增长 4根据从https://www.nuget.org/stats查询的2023年1月至8月的已知NuGetGallery下载，估计同比增长 开源供应看到了复苏 图1.2 过去4年开放新项目增长率 第1章开放资源的供应和需求 开源的供应方是衡量特定生态系统中创新的速度和规模的一个有趣的指标。每年发布的开源项目越多，特定生态系统中的创新就越多。 受监测生态系统中的新开源项目以相对稳定的平均15％的速度发布5近年来，这比2019年及之前的高点大幅下降。 图1.3 开源项目和版本增长 5在2021年的报告中，我们使用了一种不同的方法来估算NuGet的项目数量，这导致2022年报告的项目数量减少。我们根据NuGet画廊发布的统计数据更正了NuGet历史数字。 这两年的低迷很可能与COVID-19大流行时期有关 减速。虽然有些研究suggestproduction-tivitydidincreaseduringthe2020-2023periodintheU.S.,anegativecorrelationemergesinopensourceproductiontrends.Thisisfurthersupportedbyanotherstudythatfoundproduction-tivityratesininformationandcommunicationtechnologydid下降到2022年。另一种解释可能是，这些项目中的许多实际上来 自商业活动，而不是有业余时间的人，这在大流行期间非常丰富。 迄今为止，2023年的数据显示创新放缓已经结束。每个监测的生态系统都显示出非常一致的项目增长率，在所有四个 监测生态系统的总平均增长率为29%。 生产增长率正在全面恢复，MavenCentral和NuGet都有望超过2020年的增长率。 PyPi和npm虽然在增长，但还没有赶上它们最初的增长率 ，而是呈上升趋势。在后面的章节中，我们将看到AI及其相关工具的突破和兴趣如何推动这些生态系统的增长率。 在2022年至2023年之间，可用的开源项目数量平均增长 29%。2023年的平均开源项目已经发布了15个版本 消耗，特定的生态系统平均值在不同的开源注册中心范围从 10到22。这意味着每月有1-2个新版本，并且在观察到 的生态系统中总共有6000万个组合版本可用。 开源消费正在减速 Whilewe’reseesupplyincrease,consumption-tionisnotkeeppace.Therateofdownloadgrowthinopenslowthepasttwoyears.In2023,thistrendcontinuedwiththeaveragedownloadgrowthratesittingat33%,whichisexactlywhatitwaslast.This 与2021年的历史最高水平相比， 第1章开放资源的供应和需求 图1.4 6年以上每个生态系统的累积估计要求有迹象表明，最大的生态系统的增长放缓，鉴于市场已经饱和，这并不奇怪。 尽管如此，最大的生态系统Maven和npm估计都将在2023 年达到超过一万亿的请求，npm总共达到惊人的2.6万亿请求 ，继续保持适度的增长，超过了2022年PyPI的总请求率。 这两个生态系统占服务请求的90％，其余两个以高于平均水平的速度增长。 图1.5 5年来监测的开放源生态系统的增长率 图1.6 超过6年的公开来源要求 请求是衡量开源生态系统受欢迎程度和使用方式活跃程度的基本指标。生态系统中的其他因素可能会有所不同，例如更大的规模 与JavaScript包相比，Java包的复杂性。 调查请求的增长率可以揭示有关开源采用状态的信息，以及整个软件行业的增长。 图1.5绘制这些个体随时间的增长率，并显示所有4个生态系统的平均值。 所有开源生态系统的下载请求仍在增长，但连续第三年有迹象表明增长速度正在放缓。 我们可以看到Maven和npm等大型生态系统的稳定与PyPI 和NuGet的持续加速增长之间的清晰界限。 图1.6图表显示了所有生态系统的总体总体需求增长。它表明 ，尽管增长速度正在放缓，但绝对增长规模仍与前几年的速 度持平。简而言之