漏洞仍然是可以預(yù)防的

幾乎所有(96%)的漏洞仍然是可以避免的。2023年本可以避免21億次具有已知漏洞的OSS下載，因為有了更好的修復(fù)版本——與2022年的百分比完全相同。對于每一次非優(yōu)化組件升級，通常都有10個高級版本可用。

只有11%的開放源碼項目得到“積極維護”。Sonatype分析了四個主要生態(tài)系統(tǒng)的1176407個開源項目。這一發(fā)現(xiàn)表明，在跟蹤依賴關(guān)系隨時間推移的健康狀況時，消費者保持持續(xù)警惕的重要性。

次優(yōu)的開源消費習慣是開源風險的根本原因，這與公眾經(jīng)常將安全風險與開源維護者聯(lián)系在一起的言論相反。平均而言，維護人員會及時處理和解決問題。

Sonatype的首席技術(shù)官布賴恩·福克斯說：“很多維護員都非常勤奮——大型科技公司不遺余力地雇傭有才華的人來維護他們所依賴的圖書館。”“我們的行業(yè)需要將努力引向正確的地方。事實上，幾乎所有下載的組件都有一個已知漏洞的修復(fù)程序，這一事實告訴我們，當務(wù)之急應(yīng)該是支持開發(fā)人員成為更好的決策者，并讓他們能夠使用正確的工具。其目標是幫助開發(fā)人員更有意識地從擁有最多維護人員和最健康的貢獻者生態(tài)系統(tǒng)的項目中下載開源軟件。這不僅將創(chuàng)建更安全的軟件，而且每年還可以收回近2周浪費的開發(fā)人員時間。

感受到的安全感與現(xiàn)實脫節(jié)

在軟件供應(yīng)鏈攻擊不斷增加的情況下，軟件開發(fā)中感知到的安全性與現(xiàn)實之間也持續(xù)存在脫節(jié)：

企業(yè)認為他們的軟件供應(yīng)鏈處于控制之下：67%的受訪者相信他們的應(yīng)用程序不依賴已知的易受攻擊的庫。然而，近10%的受訪者報告稱，他們的企業(yè)在過去12個月中因開源漏洞而存在安全漏洞。

許多企業(yè)對開源漏洞的認識和緩解缺乏緊迫性：報告發(fā)現(xiàn)，39%的企業(yè)在一到七天內(nèi)發(fā)現(xiàn)漏洞;29%的企業(yè)需要一周以上的時間才能發(fā)現(xiàn)漏洞，28%的企業(yè)在一天內(nèi)發(fā)現(xiàn)漏洞;在緩解方面，36.2%的受訪者需要一周以上的時間來緩解漏洞。

開發(fā)人員在推動進步方面發(fā)揮著關(guān)鍵作用

持續(xù)維護的開放源碼項目在關(guān)鍵軟件安全最佳實踐方面的表現(xiàn)優(yōu)于它們的同行。與維護較少的庫相比，維護一致的項目往往得分：

• SAST高出5.9倍。
• 簽名版本的性能提高了5.4倍。
• 依賴關(guān)系更新工具的性能提高了5.1倍。
• 代碼審查速度提高3.6倍。
• 分支機構(gòu)保護能力提高3.8倍。

優(yōu)化的依賴關(guān)系管理可節(jié)省時間、資金并降低安全風險：與優(yōu)化升級相結(jié)合，一年內(nèi)誤報減少25%可為您在解決組件升級和高風險漏洞產(chǎn)生方面節(jié)省兩倍的時間。

福克斯補充道：“有影響力的變革需要明確的方向。”無論是好是壞，今天的軟件企業(yè)面臨著解決這些問題的壓倒性選擇--從大量的框架到每周的政府指導(dǎo)，等等。所有這些選擇都已經(jīng)成熟，可以造成癱瘓，這使得它很難開始。

提高效率和安全態(tài)勢

在軟件供應(yīng)鏈漏洞激增的情況下，有跡象表明，開發(fā)人員正在采取措施提高效率和安全態(tài)勢。報告顯示，在不到一年的時間里，AI/ML組件在軟件開發(fā)中的使用激增了135%，這主要是因為該技術(shù)為軟件開發(fā)人員提供了巨大的效率，此外AI/ML組件可以如此快速地集成到軟件開發(fā)工作流中。也就是說，開發(fā)人員和企業(yè)在開發(fā)自己的AI產(chǎn)品方面面臨著巨大的挑戰(zhàn)。

Sonatype負責產(chǎn)品創(chuàng)新的副總裁斯蒂芬·馬吉爾表示：“選擇合適的AI/ML工具真的很難——有數(shù)十萬種選擇，而選擇這些工具的重擔落在了數(shù)據(jù)科學家身上。”“AI/ML也帶來了大量新的安全和許可問題，更不用說實施付費服務(wù)的巨額成本了。由于LLM模型的很大一部分是開源的，這意味著與開源相關(guān)的所有固有的安全擔憂也將對AI產(chǎn)生重要影響。