國外安全公司Sonatype 發布的一份報告顯示，開源供需動態持續強勁增長。此外，關于開源安全風險，報告揭示了針對上游公共存儲庫的供應鏈攻擊同比增長 650% ，以及與流行和非流行項目版本中存在的已知漏洞級別有關的迷人二分法。

　　根據從 702 名軟件工程專業人士收集的調查回復，研究觀察到人們對軟件鏈管理實踐的主觀信念與 100,000 個應用程序測量的客觀結果之間存在根本性脫節。

　　報告分析了與 Java （Maven Central）、JavaScript （npmjs）、Python （PyPI） 和 .Net （nuget） 生態系統相關的運營供應、需求和安全趨勢。此外，研究人員還研究了從開發人員在過去 12 個月內進行的 100,000 個生產應用程序和 4,000,000 個組件遷移中收集的軟件工程實踐。

　　開源供應、需求和安全動態

　　供應量增加了 20%。排名前四的開源生態系統現在包含總共 37,451,682 個不同版本的組件。

　　需求增加了 73%。2021 年，全球開發者將從前四大生態系統下載超過 2.2 萬億個開源包。

　　攻擊增加了650%。2021 年，世界目睹了旨在利用上游開源生態系統弱點的軟件供應鏈攻擊呈指數級增長。

　　生產應用程序僅使用 6% 的可用項目。盡管有大量可用的開源項目，但利用率卻集中在數量驚人的熱門項目上。

　　熱門項目更容易受到攻擊。29% 的流行項目版本至少包含一個已知的安全漏洞。相反，只有 6.5% 的非流行項目版本這樣做，這表明安全研究人員專注于最常用的項目。

　　確定最佳開源項目的經驗指標

　　具有更快平均更新時間 （MTTU） 的項目更安全。發現它們具有漏洞的可能性要低 1.8 倍。

　　受歡迎程度并不是安全性的良好預測指標。流行的開源項目包含漏洞的可能性是其他項目的 2.8 倍。

　　開發團隊之間的依賴管理實踐差異很大

　　在更新第三方依賴項時，軟件開發人員有 69% 的時間會做出次優選擇。較新版本的項目通常更好，但并不總是最好的。

　　商業工程團隊只管理他們使用的 25% 的組件，使得大部分開源依賴項過時并且容易受到增加的安全風險的影響。

　　自動化每年可為組織節省 192,000 美元。配備智能自動化，一個擁有 20 個應用開發團隊的中型企業每年將節省 160 個開發人員日。

　　軟件供應鏈管理實踐：認知與現實

　　主觀調查反饋和客觀數據之間存在脫節。人們相信他們在修復有缺陷的組件方面做得很好，并表示他們了解風險所在。客觀上，研究表明開發團隊缺乏結構化的指導，并且經常在軟件供應鏈管理方面做出次優決策。

　　Sonatype執行副總裁馬特霍華德說：“今年的軟件供應鏈狀況報告再次表明，開源如何既是數字創新的關鍵燃料，又是軟件供應鏈攻擊的成熟目標。雖然開發人員對開源的需求繼續呈指數級增長，但我們的研究首次表明，實際使用的總體供應量很少。此外，我們現在知道流行的項目包含不成比例的更多漏洞。這一嚴峻的現實凸顯了工程領導者接受智能自動化的關鍵責任和機會，以便他們能夠標準化最佳開源供應商，同時幫助開發人員保持第三方庫的最新和最新的最佳版本。”