开源软件安全隐患加剧

关键要点

• 恶意开源软件包在过去12个月激增至512,847个，年增长率达156%。
• 开源软件总下载量超过6.6万亿次，主要集中在JavaScript请求。
• 尽管有更安全的版本，95%的不当开源组件仍被下载。
• 超过80%的应用依赖在一年内未更新，安全漏洞修复时间延长。
• 软件材料清单（SBOM）利用率有限，过去一年仅发布60,000个，与700万新发布开源组件相比，比例悬殊。

根据的报道，过去12个月，恶意开源软件包的数量增加至512,847个，年增长率高达156%。与此同时，开源软件的总下载量已超过6.6万亿次，其中大多数请求来自JavaScript。

这些威胁的加剧，再加上传统安全软件未能有效检测它们，导致了安全实践的改善停滞。根据Sonatype的一项研究，尽管有更安全的版本可供选择，过去一年内仍有95%的不当开源组件被下载。此外，组织在超过一年内未更新80%的应用依赖性，即使有更安全的版本存在，安全漏洞的修复过程也因维护者的工作负荷过重而变得更加缓慢。

额外发现还显示，软件材料清单（SBOM）的利用率有限，过去一年发布的SBOM总数仅为60,000个，而同期新发布的开源组件接近700万个，这一差距令人担忧。

在现代软件开发中，不可忽视的安全风险正在显著增加，企业应加强开源软件的使用管理，及时更新依赖并重视安全性，以保护系统和数据的安全。具体措施包括定期审计开源组件、使用软件材料清单（SBOM）追踪软件组件和依赖关系等。