2024年全球软件供应链发展报告-JFrog-2024.docx

概要现如今.用家企业的牧件供应的电成应用的软件工具愠一综史条企业组纵面临若比以往更大的安全风.如果企业想呼齐选样合道的软件工具.管理与Ki投工作流程和实找便可偌助多场景化管理软件供应的的实践,巩冏企业的安全态势并确保持续增长的竞争优势.71企业的软件供应堪正在快速Ir展保护软件供应便安全应该出焦何热HiR楂东越多的开源纨"涌现.企业的物件供应链(SSC)«Iy日益度大. 妁半粒的企业组织(53%)ItHI4-931%的企业组织ft阳十几朴城 按软件包光生划分，Docker和npm贡献/最多的假$上件包.PyPI的史触也仃所提岛,这可僮是AJ/M1.应用所致. 在生产发布：忤中使用展多的技术是Maven,np<n.Docker.PyP1.Go.Nuget.Conan(CC+)fiHe1.m企业姐织奴终部以安全理色为核心,但企业采用的安全解决方案如大相桧应."个“婆花快开发团队大约四分之的工作时间,来处理利文全相关的工作任务. «9%的受访人员(安全.开发和运推)农示,他们所在的企业1.1.壮采用了OpenSSF或S1.SA”安全也梁. 分之一的企业阻次(33%)ttfJ10抑或更多的软件安全工R，近疗的企曼组织(47%)使用4-9种软件安全工具. 60%的受访并示，他力的冏队近雷附个月要花费4天或更方的时向来性复应用程序漏网,安全风险祕在何处(献身之地可的意科)猛然安全风险超出r开淑藕眄似并非所布的己知安全漏洞探的御化W何假发. 2023年.全球安全研究机构报Ar题过2.6万个新的CVE.闻而攻吊a纹早JE同比塔长的总处. 在DockerHub社变欢迎的100个彼怪中.CVSS评分为"跖危"和*产收"的CVE'P.仃74%实际上是不可利用的. 在企业的软件供应斑中.人为振作失误和机您泄第Ji潜在:风冷的主婪来源.AI/M1.的安全性需要我们的关注 94%的受访者我示.他们的企业如织正枭取指修来审育开源机揩牛耳楼卡的安令性和仆挑性. 90%的受访者表水,他们的企业组织正在使用AI/M1.应用来协助开展安全I：住，坛砒I：程Mi比团队触导更布机会说明他们没有这么做MJS该这样.近五分之一的受访揖衣示，出f次全和合规考虑,他在疥在的企业加织不允许使阳AI/M1.法片7代研.最常用的软件编程语言乾忤包次空(±WTfi)仓曲的数M*Bnpm<230,979.13841.475184,231,166MavenZ4138668786.W2707,159,728DeckerPVP!729.414.90078.092474,179,862Go283,195,75713.70424581.414NugeC199.033,04711.98524.729.953COnan155.785.01514.79233,644,631Hejm76374.2613.41680,157,110Grade38,498.26925.6326,383.947Gems26,109.7167,91414.945,210Debn24,994,6252.7087.80S,418YUMSbC21,77680313.8486,220,508Coniposef15,016,M011.44713,773.0409,217,9142.0403.114,418Terratonn6.274,9681.92519%tS41P1.b283S3342.050IS.713220P22.664.4481,645190,116Conda1,722.28549734.B67A/pbe115538S32059.777CoooapodsOief926.4211.378543,401SwiR827.3311,26722.648Cargo4M7911.446749.9003父672134050,465Cran222.%1M3311.741VCS155.6991247,529Q*91,0611.04925,137PMPpet77.3031.6B872.929HUQgingfacsTiI49,763177918Vagrant2M7275362.42717,744U766.9112»881.2M2119296,953如图所示.JFrog为30多种软件包类暨提供壮生支持,但在生产发布软件中公常川的域程诲；;招足熟囱孔：Maven,npm.Docker.PyPI,Go.Nuget.COnan（C/C+）和He1.m考虑到上传/下找次数、仓库数收相存Wi的制品总数.软件开发团队显然优先考虑使用这"编程用,有趣的J3特定的不直行业往往使用常用的懈程语才来解决类似的用例，例3I汽车和物联网公司使用MaVen，后设应用科序）、Wm（前州应用程序），DOCkerfi1.PyPI（用于AIM1.>.并经常将Jt中的许多技术捆绑成通川软件CI（tar/zip镜像）“机器人和AIM1.0ps公司使用PyPIf1.JRf1.HuggingFaceftTenSOrftoW等公共网站的M1.模型.同时也将这些快型存仍在容器成通用软件包（Sz1.p）中.但他fj现在也开始为共M1.模K采用HuggingFace这样的生仓库.保险、金也和零仰企业使用Maven.npm和Docker等技术,但防希AI/M1.的秒及,为了保持竞，优势.这些公司也开始利用PyPI和M1.佼型东提供更好的产品.«3.所快用的M：仔N氾明以及各种坡"包关弋的操件次跌.全库数，RJ”他的用品总数（Artifact。"StJK*.2023年）软件供应链中的隐藏风险根据Gartner1.J.年，全球终端用户在安全和风险管理方面的支出预计将达到2150亿美元,较2023年增长14.3%黑客知道，开源软件包和使用这些软件包的开发人员是安全漏洞的"黄金通行证他们的攻击方式往往是利用CVE带来的缺陷（通常是使用开源软件包的开发人员无意中造成），或者引入他们自己的恶意软件包，伪装成安全的开源组件。在管理软件供应链风险方面，企业组织面临着以下四大挑战：福年都会新墙数以万计的CVE,而只增速逐印加快恶意软件包的数小越来越多并非每个CVE都适用于您的软件,也不像皴初以为的那么严Ift湍程过程中常见的人为失误可能会使您的组织面临风险202120222023If名CVEKft<M½CVE(hjtt)CVE好小f.787(10¾)722(*36H>70829*>W1(*SOH>5S2<WH>164SS0<*15>仆广，10<83<<1OO¼11114W(S3%)13121338S(6*)14339(420%)1627'15245(-10)1717(2*)1818211(*H>2122196(-28%)1852侬3175(*19%)101423171407(*5H>12731142(12*)32找2182415)18O4(1W4062(*2)215(41)-1720(13S*)-*z×-«土苗。中便尾射8号元i三I8W787352r½oijkm6D7B70S(46)677(-6¼)S29(-25)-S(*23H>二*61(-16H><5(3H>433(*U1H)13397(-28H)3124皿|15279(*U23240W17231(*6S%197(7)：3141619W68(*5S*)-125962:青松机*B买416:MWeJ120-FttawcnMau0AH78OS由今中使用博元*京IEQH434:MIXI上化内«6*的文户77aoeff喇8K元X诋正BIOk201!人i1.不多863劣恸i1.t1.3400：不爱的的贵鼻祠也018在2023年发现的潮洞中,到目。为止最常见的通用缺陷(CWE)是邱此影响前端的渴物跨站脚本、SQ1.注入和越界写入.自2021年以来.这三个漏涧始终跻身葡五大戢常见的渣在漏洞之列，其中，珀站明本在CVE中的发生率维续上升，I可顾过去几口,我们可以发现,CWE类型立洞的同比增长同心很容易受到Rfi机因素和或它啖田的影响.例如药过分析过去20年的情况我In会发现更有电义的趋势:低级编理语；;和高纺箱”消：的流工收会杉碗内“捌坊AiM和陶燎web温泪的效t恃定相关软件技术的兴收也会产生一定的影响.同I匕增匕28%、/站请求伪造(CSRF)更符越来楂杵电.在公常见刘洞中的片名从2021年的第9位升至2023年的第4位.2023年9月微软的Xbox文件因为“联邦贸易委员公诉世软案”中的个不安仝铳接而游武.来祝2023年9月.微软38TB数第的访问权限因为一个花跣的艰的健接而意外泄第使攻击者可以向微软人工智能松型注入北愈代码.一湖2023年10月微软因AzureB1.obStorage配乳情试致使2.4TB客户做那信忠泄露.其中包括2017年至2023年11月IT公司Appscook因为一个Digfta1.Ocean存储库而泄露未成年人的家庭住址和照片第效WRSiK<ftWft2022年8月的文件.划.该公“1开发的鹿用程序被卬度和斯也兰卡的6003所学校使用.泄密情况JFrog安个和先洲队仁描/版常见开源软件注册龙中的数M万个制品Inpm.PyPI.RubyGems.CrateSjO和DockerHub包括Dockerfi1.es和小NDockerh；到目前为止,令眸彼露最多的是AWS.Te1.egram.GtHub和OPenAI.92022的结果相比所推了OpenAI.O是因为AvM1.为型的果用车开始臾岛。同样伉咫注意的是，己消落机主的胞数同比行所减少.理想情况下,这个数字应该更接近于耶，因为从安全的角度来看，这是相对容易实现的目标,而且市场上有大fit的机密检测工具.5eMni*jev2PkhgI，。3tuzcrwa9AkWtenIn卬虹的公开JtAJO，向钥*企业正在采取哪些安全措施？为了更好地了解企业组织如何处理软件供应性中的风险，我们对1,224名开发、安全、解决方案架构师和IT专业人员进行了调杳。好消息是,安全防范意识已经达成共识：89%的受访者表示，他们的企业组织采用了OPenSSF或S1.SA等安全框架。关于企业组织如何应用安全措施以及将其用何处的问题，调杳结果千差万别，这表明没有"一刀切"的安全解决方案。问题在于，使用多种扫描工具和的点式解决方案会导致漏洞修且效率低下和数据重且，通常会使团队偏离目标，以至于把注意力集中于可能并不相关的漏洞。Q您的企业组统正在使用什么类型的单点式应用程序安全解决方案?於古心阳也序安金能试(SAST)找件成分分析(SCA)动£底的以序比百状(OAST)AP1.也余2J1.5用田洋双个凿认(IASn*安会打时安金IAC*弋H他占比(n=1224)最常使用的应用程序安全解决方案是静态应用程序安全测试(61%)、动态应用程序安全测试(58%)、软件成分分析(56%)和API安全(56%)进一步分析显示，单点式应用程序安全解决方案的受欢迎程僮因受访才的I：作职揖而异I(63%)和动态应用程序安全浦开发人出安全(61%)是令常用的应用程序安全州决方案，(62%)是Jft常用的两种应用程安全解决方案.成分分析(62%)和动态应用程序安全制试(61%)於最常用的.种腐用程序安仝解决方案.2024ArOg1.td.保视所仃杖利Q由谁来管理最新版的炊件包、库和15?的联取过程是安全人B还是开发人员？（迭撵所有身用项）68%66%61%安全B1.队开发H1.MDevOpeIf1.UkO1.一步的分析显示，在管理出新取的软件包、除和枢SS的获取过程方面,.IS和其他技术卸门中没有察一个团队处主呼地也.平均而“，受访并确定了2个团队（M=1.95）负由洛过议取过程.认为安个队、开发团队和DevOps用认货也管理此过科的殳访者比例相茏不大.Q通常就要多长时间才能获得批灌使用最新的软件包/雷？4Q%超过半数的受访者（58%）表示，获得批准使用最新的软件包/库通常需要6天或更短时间。另一方面，”受访若给出了更长的批准等恃时间，五分之二（40%）的受访者示，通常常找一周或更长时间才能获匐批准使用J新的收件包/陈.应用程序的安全状态并非一成不变坦过四分之的受访者（27%）我小他们的企W祖织仅在代码出而进行安仝扫描.然而,加里认为在编写代码到将共投入到生产环埴之间,代码情况不会发卡任何变化.这将帝兴文奉It的X；果.就“采取安全指胸的最佳阶段”而言，排Zm后的是在踏SO1.C附段（从故辰保证到试运行杼级就件时进h安全扪描,M一轨件在SD1.C的4个阶段日总成熟,如用不能自动地逐步扫描软件,就圻以尽早发现弱的刈混和向JS自动化必不可少,但不应该完全取代人工大多数受访者都是结合使用于汕代码市/i和自动列描代码,M瞽新技术的出现.这种平衡可能会出现波动，但以n苑在两齐之间实现平衡，自动扫推代则不是手动代码市C的杪代&“但如果没有它，你几平折定公钳过某些漏洞。此外，纯F动代码申Zi是难以歹大监控规模的，安全不应该以牺牲生产力为代价你需要保妒您的SD1.C,但这必绩以永无经的方式进行.在安全任务I:花说不必密的时间,筛选朱白多种打描器的结果，等符数天或数周时何才能荻准使用薪的攸件包或件,这些都是在浪者取耍的开发时间.想要在不修峋生产力的惜配下保护软件供应及，美犍由足简化使用新物件包和假红JM洞的审批潴尔,实现监控修理策珞白动化、将安全打描Prr上下文分析中,以及格安全洞察直接弓I入到开发环境.这边步促迸了整合软件IJI、远慰单总式解决方案的巾场大冷处.AI的涌入富无疑问，人工智能(AI)和机器学习(M1.)将对企业引入新软件的内容、代码的编写方式以及软件应用程序的保护方式产生深远影响。根据Gartner的预测，到2027年，90%的新应用程序将包含M1.机器学习模型或服务。因此，即便您的企业组织现在还没有在应用程序中嵌入M1.模型，或者使用ChatGPT和Copi1.ot这样的A1.工具，以后也会这么做。在本章节中，我们将讨论企业组织如何将AI应用融入到产品和开发工作中。您的企业姐织是否果取了安全措施/解决方案来蛇出汗滋M1.模型的安全性和合坝性？爵94%的受访者表示,他的的企业组织正在采取安全指施/解决方案未松告开源M1.机器学习极型的安全性和合规性。如今,能蚣在这方而提供得助的软件工具非常少，但是企业现税可以采取些手动防也措施，例如根据发行新、评级部指稼来评估M1.模型.hirnv.r分之九的受访白（90%）表示.他们的企业组织在某种程度上使用AJ/M1.应用来协助进行安全扫悔成18涧修51，珞超丫攻的受访者（51%）衣示,他们的企业阻次使用机器学习来协助进行f1.捶和传M.然而.如果根据受访方的Q您的企业组织是否使用AI/M1.应用来W助迸行安全石描或涵洞修复？M色炎中对这些数据进行细分,情况就会大为不同.28用色占比全郤90%10%(n-11M)27%13%51%C嫌麻管(01272)94%95%3巴3%12%26%22%46%23%7.69外M6tt(n=»)4%21t<H<n-M5高找管理人员(n-228)总Ifi8255)6%个人货嫁衣(nU5)27%15%52%您的企业组织是否允许开发人员使用AI/M1.应用来历助像写代码？允许.仅IWHt%H的50%允忤.用于代码32%tt<it(f1.> ft<ff1.> 总的，WTMW 是的,ff1.rn AJ的.R时用于灯描和修复 设有 没If,似我啜目以后会,iC级蒲竹(4%n=272)相比.史&的个人贡献W(22%：n=115)人示.他们的企业姐外没有使用AJ/M1.应用来协助迸行安全扫技或潮洞性复，但认为他们的企业泡投股该这样做,这表明，C极软导者认为正在使用的工具与H常工作中实际使川的工具存在明显偏花.不允许，出r安全和合规4虐17%半数的受访者(T示，他们的企业组织允许开发人员使用AI/M1.应用来协助编写代码，仅限研究目的。近三分之-的受访者(32%)表示，他们的企业组织允许使用AI/M1.应用来编写代码。大约六分之的受访者(17%)代示,出r安全和合规考虑他们的企业组织不允许开发人员使用A1/M1.应川庆编写代码.当涉及到A1.时企业组织应更注至安全性而不是代码生成如今的企业1织更多地将A1.工具用于安全I：作.而不是用于生成全新代码。也许他们觉得，将A1.1.具用于安全工作能够提升效率，即使不是100%准确，但也是值利的而AI应用引入新漏制.芯意软件包或非许可代码/包的H1.短太大了.主动作为是颈防A1.相关安全风险的关键所在为了帮助保护悠的软件供应流，JFrog安全研究团队建议从SD1.C的初始阶段驮将安勺融入到您的流程中,方法包括手动审ftAI匚具生成的代码,以及使用口功化安全耨决方案.比如SAST多位够可捻地发现狗沏.®要确保软件的安全性并负责任地使用AI技术，这种主动的监测方法非常垂要.V.工具箱里再添一个工具正如本报缶的上T节所述,企业姐织使用了许多安全IA.华虑到AUM1.安全工真可能只占到所用安全工具的十分之不妨在工具箱中再诲加一个AvM1.实全IJb企业加艰需变过料MI安全"注入软'，供庖链的实际彬喻.而不是骑信天化乱外的直传.丧失警惕性.立即行动,确保M1.模型开发的安全性企业对AI/M1.微入式软件的刘求不好矫长.您的开发人员E使已经把Z1.校仪作为新版费用利序的部分M1.校察的开龙和使用现在可能招觉在卢M狂野的西BT.需要多和小心.企W组织需要迅速行动.采取M1.楔使用的实全城隹实践.例如扫描开源M1.收型.轿M1.模型开双安全地引入SD1.C,302024JFrof1.1.tt1.恒日所，“"1编制方法本报告嫁合分析了JFrog平台使用数据、JFrOg安全研究团队的CVE分析结果以及第三方委托调查数据。以下是对每个来源的详细介绍：JFrog平台使用数据本强看中强调的技术使用苗势来自JFrogpIatformforOoud实例的匿W生用数界年终汇总,茯盂数千个客户、散卜万个仓咔和PB级数据,软件包的流行及根楙理作次数（上传/卜我、制品总数、仓库总数以及特定包类型的加品数做来衡M.操作次数是指开发人员调用和生成不同包类型的藤率,作为软件开发中实际使用情况的Ifi标.少数儿*企业可能会时排Z行所烦向，然而，我们还考退了制品6作，因此我W可以准晚地知道，开发流程中使用的主要是哪种包类型，JFrog安全研究团队的分析作为Ia定的CVE编号授权机构.Vrgg.,定期监测和调行新漏M.了睇共实的严术程庭.并发布此类信息,造福行业和所行JFrog客户.本报泞包含从公共注册衣中梃Ia的教岷,从美国因家漏汹数贴库中提取的CVE俏息.以及JFrOg安全研究队对这些数据源进行的U右分析.委托调壹结果JFrogCitAtomikResearch对契黑、英国、印底、中国.½P.法国和以色列在选定行业工作的1,224名开发、安全和IT人员进行国际在线谓ft,受访者包括在信息技术、仁息系统或技术都门中从事特定工作的全职员：T.斫有的受访者都确认他们所在的组织拥有不少于100O名员工以及至少50人的软件开发团队.所有殳访者都可以选择英语、ifi.劭语.希伯来语印度语利两体中文版本的Wi代问卷，系个样本的谀整/度为+/-3个百分点,双信水平为95%.实地调改于2023f|：8月31日至9月18日迸行，AtomikResearch½-索独立的巾场调研机构.32