2024年全球软件供应链发展报告

从创新到发展：防范软件生态系统中的隐藏风险 目录 简介..............................................................................................................................................................................................2概要..............................................................................................................................................................................................3 您的软件供应链是由什么构成的？..............................................................................................................................4 软件开发团队使用的编程语言的数量......................................................................................................................................5按照年份和类型划分的新软件包数量......................................................................................................................................6最常用的软件编程语言.............................................................................................................................................................7关键要点....................................................................................................................................................................................8 在特定技术或软件包类型中发现的漏洞.................................................................................................................................102023年最常见的漏洞类型....................................................................................................................................................11软件供应链中漏洞的严重程度................................................................................................................................................13最危险的恶意软件包...............................................................................................................................................................15有些恶意软件包比其它软件包更危险....................................................................................................................................15隐藏在代码中的其它安全风险................................................................................................................................................16关键要点..................................................................................................................................................................................18 企业正在采取哪些安全措施？.....................................................................................................................................19 企业组织需要在哪个阶段进行安全扫描.................................................................................................................................20扫描的类型和所用的工具.......................................................................................................................................................22修复安全漏洞耗时多久...........................................................................................................................................................24关键要点..................................................................................................................................................................................26 关键要点..................................................................................................................................................................................30 JFrog平台使用数据................................................................................................................................................................31JFrog安全研究团队的分析....................................................................................................................................................32委托调查结果..........................................................................................................................................................................32 简介 JFrog是一家专注于提升企业软件供应链安全性的公司，拥有专门的安全研究团队，能够为开发和安全团队提供强有力的技术支持。JFrog深知企业管理和保护整个软件供应链是交付安全可信软件的基础所在。随着开源生态的不断发展，以及企业在软件供应链中应用的开源工具不断增多，企业的DevSecOps流程是否也在与时俱进？ 为了解答这个重要问题，本报告结合JFrog平台的数百万用户的使用数据、JFrog安全研究团队的CVE分析，以及来自委托第三方调查的1,224名安全、开发和运维人员的数据，为保障企业软件供应链安全提供了上下文分析，揭示了安全风险所在，并展示了如何在保护软件供应链安全的同时保持行业竞争力。欢迎向data_report@jfrog.com提供反馈意见。 概要 现如今，每家企业的软件供应链集成应用的软件工具错综复杂，企业组织面临着比以往更大的安全风险。如果企业领导者选择合适的软件工具、管理与监控工作流程和实践，便可借助多场景化管理软件供应链的实践，巩固企业的安全态势并确保持续增长的竞争优势。 保护软件供应链安全应该聚焦何处 企业的软件供应链正在快速扩展 企业组织最终都以安全理念为核心，但企业采用的安全解决方案却大相径庭，每个月要花费开发团队大约四分之一的工作时间，来处理和安全相关的工作任务。 随着越来越多的开源组件涌现，企业的软件供应链(SSC)变得日益庞大。 约半数的企业组织(53%)使用4-9种编程语言，31%的企业组织使用十几种编程语言。按软件包类型划分，Docker和npm贡献了最多的新软件包，PyPI的贡献也有所提高，这可能是AI/ML应用所致。在生产发布软件中使用最多的技术是Maven、npm、Docker、PyPI、Go、Nuget、Conan (C/C++)和Helm。 89%的受访人员（安全、开发和运维）表示，他们所在的企业已经采用了OpenSSF或SLSA等安全框架。三分之一的企业组织(33%)使用10种或更多的软件安全工具，近一半的企业组织(47%)使用4-9种软件安全工具。60%的受访者表示，他们的团队通常每个月要花费4天或更多的时间来修复应用程序漏洞。 安全风险藏在何处（藏身之地可能出乎您的意料） AI/ML的安全性需要我们的关注 94%的受访者表示，他们的企业组织正采取措施来审查开源机器学习模型的安全性和合规性。90%的受访者表示，他们的企业组织正在使用AI/ML应用来协助开展安全工作，基础工程师比团队领导更有机会说明他们没有这么做但应该这样做。近五分之一的受访者表示，出于安全和合规考虑，他们所在的企业组织不允许使用AI/ML来编写代码。 虽然安全