2024年全球软件供应链发展报告-JFrog-2024.docx

《2024年全球软件供应链发展报告-JFrog-2024.docx》由会员分享，可在线阅读，更多相关《2024年全球软件供应链发展报告-JFrog-2024.docx（16页珍藏版）》请在优知文库上搜索。

1、概要现如今.用家企业的牧件供应的电成应用的软件工具愠一综史条企业组纵面临若比以往更大的安全风.如果企业想呼齐选样合道的软件工具.管理与Ki投工作流程和实找便可偌助多场景化管理软件供应的的实践,巩冏企业的安全态势并确保持续增长的竞争优势.71企业的软件供应堪正在快速Ir展保护软件供应便安全应该出焦何热HiR楂东越多的开源纨涌现.企业的物件供应链(SSC)Iy日益度大. 妁半粒的企业组织(53%)ItHI4-931%的企业组织ft阳十几朴城 按软件包光生划分，Docker和npm贡献/最多的假$上件包.PyPI的史触也仃所提岛,这可僮是AJ/M1.应用所致. 在生产发布：忤中使用展多的技术是Mav

2、en,npn.Docker.PyP1.Go.Nuget.Conan(CC+)fiHe1.m企业姐织奴终部以安全理色为核心,但企业采用的安全解决方案如大相桧应.个“婆花快开发团队大约四分之的工作时间,来处理利文全相关的工作任务. 9%的受访人员(安全.开发和运推)农示,他们所在的企业1.1.壮采用了OpenSSF或S1.SA”安全也梁. 分之一的企业阻次(33%)ttfJ10抑或更多的软件安全工R，近疗的企曼组织(47%)使用4-9种软件安全工具. 60%的受访并示，他力的冏队近雷附个月要花费4天或更方的时向来性复应用程序漏网,安全风险祕在何处(献身之地可的意科)猛然安全风险超出r开淑藕眄似并非

3、所布的己知安全漏洞探的御化W何假发. 2023年.全球安全研究机构报Ar题过2.6万个新的CVE.闻而攻吊a纹早JE同比塔长的总处. 在DockerHub社变欢迎的100个彼怪中.CVSS评分为跖危和*产收的CVEP.仃74%实际上是不可利用的. 在企业的软件供应斑中.人为振作失误和机您泄第Ji潜在:风冷的主婪来源.AI/M1.的安全性需要我们的关注 94%的受访者我示.他们的企业如织正枭取指修来审育开源机揩牛耳楼卡的安令性和仆挑性. 90%的受访者表水,他们的企业组织正在使用AI/M1.应用来协助开展安全I：住，坛砒I：程Mi比团队触导更布机会说明他们没有这么做MJS该这样.近五分之一的受访

4、揖衣示，出f次全和合规考虑,他在疥在的企业加织不允许使阳AI/M1.法片7代研.最常用的软件编程语言乾忤包次空(WTfi)仓曲的数M*Bnpm.并经常将Jt中的许多技术捆绑成通川软件CI（tar/zip镜像）“机器人和AIM1.0ps公司使用PyPIf1.JRf1.HuggingFaceftTenSOrftoW等公共网站的M1.模型.同时也将这些快型存仍在容器成通用软件包（Sz1.p）中.但他fj现在也开始为共M1.模K采用HuggingFace这样的生仓库.保险、金也和零仰企业使用Maven.npm和Docker等技术,但防希AI/M1.的秒及,为了保持竞，优势.这些公司也开始利用PyPI和

5、M1.佼型东提供更好的产品.3.所快用的M：仔N氾明以及各种坡包关弋的操件次跌.全库数，RJ”他的用品总数（Artifact。StJK*.2023年）软件供应链中的隐藏风险根据Gartner1.J.年，全球终端用户在安全和风险管理方面的支出预计将达到2150亿美元,较2023年增长14.3%黑客知道，开源软件包和使用这些软件包的开发人员是安全漏洞的黄金通行证他们的攻击方式往往是利用CVE带来的缺陷（通常是使用开源软件包的开发人员无意中造成），或者引入他们自己的恶意软件包，伪装成安全的开源组件。在管理软件供应链风险方面，企业组织面临着以下四大挑战：福年都会新墙数以万计的CVE,而只增速逐印加快恶

6、意软件包的数小越来越多并非每个CVE都适用于您的软件,也不像皴初以为的那么严Ift湍程过程中常见的人为失误可能会使您的组织面临风险202120222023If名CVEKft70829*W1(*SOH5S2164SS0仆广，10832122196(-28%)1852侬3175(*19%)101423171407(*5H12731142(12*)32找2182415)18O4(1W4062(*2)215(41)-1720(13S*)-*z-土苗。中便尾射8号元i三I8W787352roijkm6D7B70S(46)677(-6)S29(-25)-S(*23H二*61(-16H433(*U1H)13

7、397(-28H)3124皿|15279(*U23240W17231(*6S%197(7)：3141619W68(*5S*)-125962:青松机*B买416:MWeJ120-FttawcnMau0AH78OS由今中使用博元*京IEQH434:MIXI上化内6*的文户77aoeff喇8K元X诋正BIOk201!人i1.不多863劣恸i1.t1.3400：不爱的的贵鼻祠也018在2023年发现的潮洞中,到目。为止最常见的通用缺陷(CWE)是邱此影响前端的渴物跨站脚本、SQ1.注入和越界写入.自2021年以来.这三个漏涧始终跻身葡五大戢常见的渣在漏洞之列，其中，珀站明本在CVE中的发生率维续上升，

8、I可顾过去几口,我们可以发现,CWE类型立洞的同比增长同心很容易受到Rfi机因素和或它啖田的影响.例如药过分析过去20年的情况我In会发现更有电义的趋势:低级编理语；;和高纺箱”消：的流工收会杉碗内“捌坊AiM和陶燎web温泪的效t恃定相关软件技术的兴收也会产生一定的影响.同I匕增匕28%、/站请求伪造(CSRF)更符越来楂杵电.在公常见刘洞中的片名从2021年的第9位升至2023年的第4位.2023年9月微软的Xbox文件因为“联邦贸易委员公诉世软案”中的个不安仝铳接而游武.来祝2023年9月.微软38TB数第的访问权限因为一个花跣的艰的健接而意外泄第使攻击者可以向微软人工智能松型注入北愈代

9、码.一湖2023年10月微软因AzureB1.obStorage配乳情试致使2.4TB客户做那信忠泄露.其中包括2017年至2023年11月IT公司Appscook因为一个Digfta1.Ocean存储库而泄露未成年人的家庭住址和照片第效WRSiKftWft2022年8月的文件.划.该公“1开发的鹿用程序被卬度和斯也兰卡的6003所学校使用.泄密情况JFrog安个和先洲队仁描/版常见开源软件注册龙中的数M万个制品Inpm.PyPI.RubyGems.CrateSjO和DockerHub包括Dockerfi1.es和小NDockerh；到目前为止,令眸彼露最多的是AWS.Te1.egram.GtHub和OPenAI.92022的结果相比所推了OpenAI.O是因为AvM1.为型的果用车开始臾岛。同样伉咫注意的是，己消落机主的胞数同比行所减少.理想情况下,这个数字应该更接近于耶，因为从安全的角度来看，这是相对容易实现的目标,而且市场上有大fit的机密检测工具.5eMni*jev2PkhgI，。3tuzcrwa9AkWtenIn卬虹的公开JtAJO，向钥*企业正在采取哪些安全措施？为了更好地了解企业组织如何处理软件供应性中的风险，我们对1,224名开发、安全、解决方案架构师和IT专业人员进行了调杳。好消息是,安全防范意识已经达成共识：89%的受访