漏洞仍然是可以預(yù)防的

幾乎所有(96%)的漏洞仍然是可以避免的。2023年本可以避免21億次具有已知漏洞的OSS下載，因為有了更好的修復(fù)版本——與2022年的百分比完全相同。對于每一次非優(yōu)化組件升級，通常都有10個高級版本可用。

只有11%的開放源碼項目得到“積極維護(hù)”。Sonatype分析了四個主要生態(tài)系統(tǒng)的1176407個開源項目。這一發(fā)現(xiàn)表明，在跟蹤依賴關(guān)系隨時間推移的健康狀況時，消費者保持持續(xù)警惕的重要性。

次優(yōu)的開源消費習(xí)慣是開源風(fēng)險的根本原因，這與公眾經(jīng)常將安全風(fēng)險與開源維護(hù)者聯(lián)系在一起的言論相反。平均而言，維護(hù)人員會及時處理和解決問題。

Sonatype的首席技術(shù)官布賴恩·?？怂拐f：“很多維護(hù)員都非常勤奮——大型科技公司不遺余力地雇傭有才華的人來維護(hù)他們所依賴的圖書館?！薄拔覀兊男袠I(yè)需要將努力引向正確的地方。事實上，幾乎所有下載的組件都有一個已知漏洞的修復(fù)程序，這一事實告訴我們，當(dāng)務(wù)之急應(yīng)該是支持開發(fā)人員成為更好的決策者，并讓他們能夠使用正確的工具。其目標(biāo)是幫助開發(fā)人員更有意識地從擁有最多維護(hù)人員和最健康的貢獻(xiàn)者生態(tài)系統(tǒng)的項目中下載開源軟件。這不僅將創(chuàng)建更安全的軟件，而且每年還可以收回近2周浪費的開發(fā)人員時間。

感受到的安全感與現(xiàn)實脫節(jié)

在軟件供應(yīng)鏈攻擊不斷增加的情況下，軟件開發(fā)中感知到的安全性與現(xiàn)實之間也持續(xù)存在脫節(jié)：

企業(yè)認(rèn)為他們的軟件供應(yīng)鏈處于控制之下：67%的受訪者相信他們的應(yīng)用程序不依賴已知的易受攻擊的庫。然而，近10%的受訪者報告稱，他們的企業(yè)在過去12個月中因開源漏洞而存在安全漏洞。

許多企業(yè)對開源漏洞的認(rèn)識和緩解缺乏緊迫性：報告發(fā)現(xiàn)，39%的企業(yè)在一到七天內(nèi)發(fā)現(xiàn)漏洞;29%的企業(yè)需要一周以上的時間才能發(fā)現(xiàn)漏洞，28%的企業(yè)在一天內(nèi)發(fā)現(xiàn)漏洞;在緩解方面，36.2%的受訪者需要一周以上的時間來緩解漏洞。

開發(fā)人員在推動進(jìn)步方面發(fā)揮著關(guān)鍵作用

持續(xù)維護(hù)的開放源碼項目在關(guān)鍵軟件安全最佳實踐方面的表現(xiàn)優(yōu)于它們的同行。與維護(hù)較少的庫相比，維護(hù)一致的項目往往得分：

• SAST高出5.9倍。
• 簽名版本的性能提高了5.4倍。
• 依賴關(guān)系更新工具的性能提高了5.1倍。
• 代碼審查速度提高3.6倍。
• 分支機構(gòu)保護(hù)能力提高3.8倍。

優(yōu)化的依賴關(guān)系管理可節(jié)省時間、資金并降低安全風(fēng)險：與優(yōu)化升級相結(jié)合，一年內(nèi)誤報減少25%可為您在解決組件升級和高風(fēng)險漏洞產(chǎn)生方面節(jié)省兩倍的時間。

?？怂寡a充道：“有影響力的變革需要明確的方向?！睙o論是好是壞，今天的軟件企業(yè)面臨著解決這些問題的壓倒性選擇--從大量的框架到每周的政府指導(dǎo)，等等。所有這些選擇都已經(jīng)成熟，可以造成癱瘓，這使得它很難開始。

提高效率和安全態(tài)勢

在軟件供應(yīng)鏈漏洞激增的情況下，有跡象表明，開發(fā)人員正在采取措施提高效率和安全態(tài)勢。報告顯示，在不到一年的時間里，AI/ML組件在軟件開發(fā)中的使用激增了135%，這主要是因為該技術(shù)為軟件開發(fā)人員提供了巨大的效率，此外AI/ML組件可以如此快速地集成到軟件開發(fā)工作流中。也就是說，開發(fā)人員和企業(yè)在開發(fā)自己的AI產(chǎn)品方面面臨著巨大的挑戰(zhàn)。

Sonatype負(fù)責(zé)產(chǎn)品創(chuàng)新的副總裁斯蒂芬·馬吉爾表示：“選擇合適的AI/ML工具真的很難——有數(shù)十萬種選擇，而選擇這些工具的重?fù)?dān)落在了數(shù)據(jù)科學(xué)家身上。”“AI/ML也帶來了大量新的安全和許可問題，更不用說實施付費服務(wù)的巨額成本了。由于LLM模型的很大一部分是開源的，這意味著與開源相關(guān)的所有固有的安全擔(dān)憂也將對AI產(chǎn)生重要影響。