Sonatype发布2023年软件供应链状况报告：开源项目增长显著，安全问题不容忽视

近日，软件提供商Sonatype发布了《2023年软件供应链状况》报告。报告深入探讨了如何在充满选择的世界中定义更好的软件，并探究了AI对软件开发的深远影响。同时，还研究了开源供应、需求和安全之间错综复杂的相互作用，阐明了监管部门应对网络安全风险而采取的措施。

据Sonatype报告显示，开源项目在近年来经历了显著的增长，表明了正在进行的业界创新浪潮。报告跟踪了Java（Maven）、JavaScript（npm）、Python（PyPI）、.NET（NuGet Gallery）四大开源生态系统的开源应用增长情况。2022年至2023年年间，开源项目的数量平均增长了29%。在开源项目的维护方面，去年有近五分之一（18.6%）的项目停止维护，影响了Java和JavaScript生态系统。只有11%的开源项目实际上得到了积极维护。

在安全方面，Sonatype认为，开源项目的安全问题并没有“放缓的迹象”。截至2023年9月，研究团队共发现了245032个恶意软件包，是往年总和的2倍。1/8的开源下载存在已知风险，且仍有23%的Log4j下载存在严重漏洞。尽管存在这些缺陷，但该软件公司仍然表示，近96%存在已知漏洞的组件下载可以通过选择“无漏洞版本”来避免。

在AI方面，Sonatype发现，97%的受访DevOps和SecOps领导者表示，他们目前在工作流程中某种程度上使用了人工智能，大多数人每天使用两个或更多工具。去年，企业环境中AI和ML组件的采用率增加了135%。

Sonatype还指出，虽然开源项目在逐步增加，但用户群体数量“并没有跟上步伐”。2023年，开源项目用户的平均增长率为33%，相对于2021年的73%大幅下降。在软件供应链成熟度方面，Sonatype认为，当下软件物料清单的需求正在上升，而相关软件的“安全优势”愈发突出。不过考虑到软件供应商自我报告的成熟度水平与第三方评估的软件成熟度水平存在显著差距，Sonatype认为需要以中立第三方的方式对各软件供应链成熟度进行评估。