|
Sonatypeは最新の2021年版ソフトウェアサプライチェーンの現状レポートを発表しました。このレポートでは、10万件の運用アプリケーションと400万件の開発者によるコンポーネント移行に加え、Java(Maven Central)、JavaScript(npmjs)、Python(PyPI)、.NET(nuget)エコシステムに関連する供給、需要、セキュリティのトレンドを調査しています。主なハイライトは次のとおりです。
オープンソースの供給、需要、セキュリティの脆弱性はすべて爆発的な増加を経験しました。供給量は20%増加しました。上位4つのオープンソースエコシステムには、現在合計37,451,682種類のコンポーネントが含まれています。これらのコミュニティは、過去1年間で合計6,302,733種類のコンポーネント/パッケージの新バージョンをリリースし、723,570件の新規プロジェクトを立ち上げ、世界中の2,700万人の開発者をサポートしています。 オープンソースに対する開発者の需要は前年比73%増加しました。2021年には、世界中の開発者が上位4つのエコシステムから2.2兆個以上のオープンソースパッケージをダウンロードしました。しかし、ダウンロード量の増加にもかかわらず、本番アプリケーションで利用可能なコンポーネントの割合は驚くほど低いままです。 オープンソースへの攻撃は650%増加しました。2021年、世界中でソフトウェアサプライチェーン攻撃が急増し、上流のオープンソースエコシステムの脆弱性を悪用する攻撃が顕著になりました。 実稼働アプリケーションで利用されているオープンソースプロジェクトは、わずか6%です。利用可能なオープンソースプロジェクトは豊富にあるにもかかわらず、その利用は驚くほど多くの人気プロジェクトに集中しています。 人気の高いオープンソースプロジェクトは、攻撃に対してより脆弱です。人気の高いプロジェクトのバージョンの29%には、少なくとも1つの既知のセキュリティ脆弱性が含まれています。一方、人気のないプロジェクトのバージョンでは、わずか6.5%にしか脆弱性が含まれていないことから、セキュリティ研究者(ブラックハットとホワイトハットの両方)は、最も頻繁に使用されるプロジェクトに注目していることがわかります。 Sonatypeは、今年の「ソフトウェアサプライチェーンの現状」レポートが、オープンソースがデジタルイノベーションの重要な原動力であると同時に、ソフトウェアサプライチェーン攻撃の格好の標的となっていることを改めて示していると指摘しています。オープンソースに対する開発者の需要は指数関数的に増加し続けていますが、調査によると、実際に悪用されているのは全体の供給量のごく一部に過ぎません。さらに、人気のあるプロジェクトには、不釣り合いに多くの脆弱性が含まれています。この厳しい現実は、エンジニアリングリーダーがインテリジェントな自動化を導入する上で、重要な責任と機会を浮き彫りにしています。インテリジェントな自動化とは、最高クラスのオープンソースベンダーを標準化すると同時に、開発者がサードパーティのライブラリを常に最新の状態に維持し、最新バージョンに更新できるようにすることです。 一部のオープンソース プロジェクトは他のプロジェクトよりも優れています。
依存関係管理の実践は開発チームによって大きく異なります。
完全なレポートは閲覧可能です。 この記事はOSCHINAから転載したものです。 タイトル: オープンソースパッケージのダウンロード数は2021年に2.2兆円を超えると予想され、オープンソース攻撃は650%増加する この記事のアドレス:https://www.oschina.net/news/160643/2021-state-of-the-software-supply-chain |
