2024年全球軟件供應(yīng)鏈發(fā)展報(bào)告

2024年全球件從創(chuàng)新到展防范軟件生態(tài)系統(tǒng)中的隱藏風(fēng)險(xiǎn) 2 3 5 6最常用的軟件編程語(yǔ)言 7關(guān)鍵要點(diǎn) 8 險(xiǎn)…………………9在特定技術(shù)或軟件包類(lèi)型中發(fā)現(xiàn)的漏洞 軟件供應(yīng)鏈中漏洞的嚴(yán)重程度 最危險(xiǎn)的惡意軟件包 隱藏在代碼中的其它安全風(fēng)險(xiǎn) 關(guān)鍵要點(diǎn) 企業(yè)組織需要在哪個(gè)階段進(jìn)行安全掃描 2修復(fù)安全漏洞耗時(shí)多久 關(guān)鍵要點(diǎn) 關(guān)鍵要點(diǎn) 法……………………31JFrog平臺(tái)使用數(shù)據(jù) JFrog安全研究團(tuán)隊(duì)的分析 JFrog是一家專(zhuān)注于提升企業(yè)軟件供應(yīng)鏈安全性的公司，擁有專(zhuān)門(mén)的安全研究團(tuán)隊(duì)，能夠?yàn)殚_(kāi)發(fā)和安全團(tuán)隊(duì)提供強(qiáng)有力的技術(shù)支持。JFrog深知企業(yè)管理和保護(hù)整個(gè)軟件供應(yīng)鏈?zhǔn)墙桓栋踩尚跑浖幕A(chǔ)所在。隨著開(kāi)源生態(tài)的不斷發(fā)展，以及企業(yè)在軟件供應(yīng)鏈中應(yīng)用的開(kāi)源工具不斷增多，企業(yè)的DevSecOps流程是否也在與時(shí)俱進(jìn)?為了解答這個(gè)重要問(wèn)題，本報(bào)告結(jié)合JFrog平臺(tái)的數(shù)百萬(wàn)用戶(hù)的使用數(shù)據(jù)、JFrog安全研究團(tuán)隊(duì)的CVE分析，以及來(lái)自委托第三方調(diào)查的1,224名安全、開(kāi)發(fā)和運(yùn)維人員的數(shù)據(jù)，為保障企業(yè)軟件供應(yīng)鏈安全提供了上下文分析，揭示了安全風(fēng)險(xiǎn)所在，并展示了如何在保護(hù)軟件供應(yīng)鏈安全的同時(shí)保持行業(yè)競(jìng)爭(zhēng)力。歡迎向datareport@提供反饋意見(jiàn)?，F(xiàn)如今，每家企業(yè)的軟件供應(yīng)鏈集成應(yīng)用的軟件工具錯(cuò)綜復(fù)雜，企業(yè)組織面臨著比以往更大的安全風(fēng)險(xiǎn)。如果企業(yè)領(lǐng)導(dǎo)者選擇合適的軟件工具、管理與監(jiān)控工作流程和實(shí)踐，便可借助多場(chǎng)景化管理軟件供應(yīng)鏈的實(shí)踐，鞏固企業(yè)的安全態(tài)勢(shì)并確保持續(xù)增長(zhǎng)的競(jìng)爭(zhēng)優(yōu)勢(shì)。N77隨著越來(lái)越多的開(kāi)源組件涌現(xiàn)，企業(yè)的軟件供應(yīng)鏈(SSC)變·約半數(shù)的企業(yè)組織(53%)使用4-9種編程語(yǔ)言，31%的·按軟件包類(lèi)型劃分，Docker和npm貢獻(xiàn)了最多的新軟件·在生產(chǎn)發(fā)布軟件中使用最多的技術(shù)是Maven、npm、企業(yè)組織最終都以安全理念為核心，但企業(yè)采用的安全解決方案卻大相徑庭，每個(gè)月要花費(fèi)開(kāi)發(fā)團(tuán)隊(duì)大約四分之一的工作時(shí)間，來(lái)處理和安全相關(guān)的工作任務(wù)。·89%的受訪(fǎng)人員(安全、開(kāi)發(fā)和運(yùn)維)表示，他們所在的企業(yè)已經(jīng)采用了OpenSSF或SLSA等安全框架?！と种坏钠髽I(yè)組織(33%)使用10種或更多的軟件安全工具，近一半的企業(yè)組織(47%)使用4-9種軟件安·60%的受訪(fǎng)者表示，他們的團(tuán)隊(duì)通常每個(gè)月要花費(fèi)4天或更多的時(shí)間來(lái)修復(fù)應(yīng)用程序漏洞?！?4%的受訪(fǎng)者表示，他們的企業(yè)組織正采取措施來(lái)審查開(kāi)源機(jī)器學(xué)習(xí)模型的安全性和合規(guī)性。·90%的受訪(fǎng)者表示，他們的企業(yè)組織正在使用Al/ML應(yīng)用來(lái)協(xié)助開(kāi)展安全工作，基礎(chǔ)工程師比團(tuán)隊(duì)領(lǐng)導(dǎo)更有機(jī)會(huì)說(shuō)明他們沒(méi)有這么做但應(yīng)該這樣做。·近五分之一的受訪(fǎng)者表示，出于安全和合規(guī)考慮，他們所在的企業(yè)組織不允許使用Al/ML來(lái)編寫(xiě)代碼。亞安全風(fēng)險(xiǎn)藏在何處雖然安全風(fēng)險(xiǎn)超出了開(kāi)源范疇，但并非所有的已知安全漏洞·2023年，全球安全研究機(jī)構(gòu)報(bào)告了超過(guò)2.6萬(wàn)個(gè)新的CVE,漏洞數(shù)量繼續(xù)呈現(xiàn)同比增長(zhǎng)的趨勢(shì)?！ぴ贒ockerHub社區(qū)最受歡迎的100個(gè)鏡像中，CVSS·在企業(yè)的軟件供應(yīng)鏈中，人為操作失誤和機(jī)密泄露是潛33如今企業(yè)建立的軟件供應(yīng)鏈采用多種技術(shù)、集成的軟件工具來(lái)源復(fù)雜并且跨越異國(guó)服務(wù)器，很多企業(yè)組織使用十幾種編程語(yǔ)言。每年用于開(kāi)發(fā)生產(chǎn)新型編程語(yǔ)言仍然相對(duì)小眾。JFrog的數(shù)據(jù)變化不大，但TIOBEIndex等其它數(shù)據(jù)顯示，Rust語(yǔ)言的流行度在2023年至2024年有所放緩，從第18位降至第19位?？捎糜陂_(kāi)發(fā)應(yīng)用程序的開(kāi)源軟件包和庫(kù)越來(lái)越多，但這將使企業(yè)組織面臨更大的潛在安全風(fēng)險(xiǎn)，我們將在本報(bào)告中對(duì)此進(jìn)行詳細(xì)闡述。所有企業(yè)組織所有企業(yè)組織■1-3種語(yǔ)言■4-9種語(yǔ)言不到2,000名員工2,000-4,999名員工超過(guò)5,000名員工(委托調(diào)查，2023年)>5,000名員工<5,000名員工4-9種語(yǔ)言10多種語(yǔ)言10多種語(yǔ)言10多種語(yǔ)言超過(guò)半數(shù)的受訪(fǎng)者(53%)表示，他們的軟件開(kāi)發(fā)團(tuán)隊(duì)使用4到9種編程語(yǔ)言。近三分之一(31%)的受訪(fǎng)者表示，他們使用10種或以上的編程語(yǔ)言。規(guī)模超過(guò)5,000名員工的企業(yè)組織更有可能使用10種以上的編程語(yǔ)言(39%對(duì)23%)。55包管理器新軟件包數(shù)量皿MavenCentral270,310433,627362,295239,594224,425317,45779,98870,21674,82563,05777,84259,79462,95927,28025,25629,2245,4355,5567,024按包類(lèi)型劃分，Docker和npm貢獻(xiàn)了最多的新軟件包，企業(yè)組織對(duì)PyPI的興趣也在增加，可能是Al/ML應(yīng)用所致。我們可以看到，與2022年相比，2023年新的npm和DockerHub軟件包顯著增加。就DockerHub而言，增速與前幾年一致(2021年約1萬(wàn)個(gè)，2022年約2.2萬(wàn)個(gè)，2023年約150萬(wàn)個(gè))。但就npm來(lái)說(shuō)，增速與前幾年并不一致(2021年約36.2萬(wàn)個(gè)，2022年約43.3萬(wàn)個(gè)，2023年約130萬(wàn)交給npm的所有新軟件包(截至2023年3月)中有近一半是SEO垃圾信息。這進(jìn)一步表明，網(wǎng)絡(luò)攻擊者仍然非常熱衷于把npm意軟件包和相關(guān)安全風(fēng)險(xiǎn)是新軟件包和庫(kù)的自然組成部分，鑒于軟件包的快速迭代，企業(yè)需新軟件包日益增多，再加上越來(lái)越多的企業(yè)組織選擇使用開(kāi)源軟件包，我們需要在沒(méi)有相應(yīng)支持的情況下，付出更多的努力來(lái)管理開(kāi)源生態(tài)系統(tǒng)的組件并確保其安全性。66如圖所示，JFrog為30多種軟件包生支持，但在生產(chǎn)發(fā)布軟件中最常用的編程語(yǔ)言到上傳/下載次數(shù)、倉(cāng)庫(kù)數(shù)量和存儲(chǔ)的制品總數(shù)，軟件開(kāi)發(fā)團(tuán)隊(duì)顯然優(yōu)先考慮使用這些編程語(yǔ)有趣的是，特定的垂直行業(yè)往往使用常用的編程語(yǔ)言來(lái)解決類(lèi)似的用例，例如：如圖所示，JFrog為30多種軟件包生支持，但在生產(chǎn)發(fā)布軟件中最常用的編程語(yǔ)言到上傳/下載次數(shù)、倉(cāng)庫(kù)數(shù)量和存儲(chǔ)的制品總數(shù)，軟件開(kāi)發(fā)團(tuán)隊(duì)顯然優(yōu)先考慮使用這些編程語(yǔ)有趣的是，特定的垂直行業(yè)往往使用常用的編程語(yǔ)言來(lái)解決類(lèi)似的用例，例如：·汽車(chē)和物聯(lián)網(wǎng)公司使用Maven(后端應(yīng)用程序)、npm(前端應(yīng)用程序)、Docker和PyPI(用于AI/ML),并經(jīng)常將其中的許多技術(shù)捆綁成通用軟件包·機(jī)器人和AI/MLOps公司使用PyPI和模型存儲(chǔ)在容器或通用軟件包(tar/zip)HuggingFace這樣的原生倉(cāng)庫(kù)。Al/ML的普及，為了保持競(jìng)爭(zhēng)優(yōu)勢(shì)，這些公司也開(kāi)始利用PyPI和ML模型來(lái)提供更好的產(chǎn)品。圖3.所使用的軟件編程語(yǔ)言，以及各種軟件包類(lèi)型的操作次數(shù)、倉(cāng)庫(kù)數(shù)量和存儲(chǔ)的制品總數(shù)(Artifactory數(shù)據(jù)庫(kù)，2023年)4,230,979,13841,475Maven2,413,056,68786,892707,159,728Docker729,414,900474,179,862PyPl283,195,75724,581,41424,729,953Nuget33,644,631Conan76,374,26180,157,110Helm38,498,2696,383,947Gradle26,109,716Gems24,994,6257,805,418Debian6,220,508YUM9,217,9142,0403,114,418ComposerTerraform2,835,3342,664,448CondaAlpineCocoapodsChefCargo247,529BowerCranVCS62,427PuppetHuggingfacemlVagrant77關(guān)鍵要點(diǎn)傳統(tǒng)軟件技術(shù)依舊占據(jù)重要地位傳統(tǒng)軟件技術(shù)依舊占據(jù)重要地位AI開(kāi)發(fā)興起當(dāng)前使用的編程語(yǔ)言和包類(lèi)型多種容器化已經(jīng)成為一接流來(lái)呢?具和監(jiān)控流程，確保安全地使用10多種編程語(yǔ)言可以管理方面的支出預(yù)計(jì)將達(dá)到2150億美元，較2023年增長(zhǎng)2023年，全球安全研究人員報(bào)告了超過(guò)2.6萬(wàn)個(gè)新的CVE(基于添加到美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)的CVE數(shù)量，該數(shù)據(jù)庫(kù)也是由JFrog安全研究團(tuán)隊(duì)審查),需要應(yīng)對(duì)的漏洞數(shù)量繼續(xù)逐年遞增。高危高危CVE%(數(shù)量)44%(1138)44%(807)38%(354)34%(169)40%(196)40%(190)51%(64)56%(34)49%(895)46%(438)48%(240)42%(208)(數(shù)量)50%(1,293)Alpine42%(52)33%(20)2,603(172)20)嚴(yán)重CVE%52%(1,026)軟件包類(lèi)型49%(230)Debian在通過(guò)開(kāi)源生態(tài)系統(tǒng)引入漏洞方面，并非所有的軟件技術(shù)都表現(xiàn)一樣。雖然Debian和RPM的漏洞最多，但npm和PyPl的嚴(yán)重CVE漏洞占比最大，其次是Maven。大多數(shù)的Debian和Alpine代碼庫(kù)都是C/C++代碼和Linux。由于兩者都是Linux系統(tǒng)，您很可能會(huì)在這兩種軟件包類(lèi)型中發(fā)現(xiàn)相同的漏洞，Debian的漏洞更多，因?yàn)樗膽?yīng)用更為廣泛，貢獻(xiàn)的軟件包也更多。排名2921232021CVE數(shù)量2668731713462386293-283274273242233-2022排名CVE數(shù)量(同比)31720(+135%)一708(+29%)691(+50%)550(+15%)18211(+14%)32140(-18%)排名32002023CVE數(shù)量(同比)4062(+28%)1824(+6%)-461(-16%)433(+121%)231(+65%)194(-15%)圖5.與2022年和2021年相比，2023年發(fā)現(xiàn)的常見(jiàn)漏洞在2023年發(fā)現(xiàn)的漏洞中，到目前為止最常見(jiàn)的通用缺陷入。自2021年以來(lái)，這三個(gè)漏洞始終躋身前五大最常見(jiàn)的潛在漏洞之列。其中，跨站腳本在CVE中的發(fā)生率繼續(xù)上升，同比增長(zhǎng)28%?？缯菊?qǐng)求偽造(CSRF)變得越來(lái)越普遍，在最常見(jiàn)漏洞中的排名從2021年的第9位升至2023年的第4位。很容易受到隨機(jī)因素和其它噪音的影響。例如，通過(guò)分析過(guò)去20年的情況，我們會(huì)發(fā)現(xiàn)更有意義的趨勢(shì)：低級(jí)編程語(yǔ)言和高級(jí)編程語(yǔ)言的流行度會(huì)影響內(nèi)存損壞漏洞和高級(jí)web漏洞的數(shù)未指明6.4%4.3%遠(yuǎn)程代碼執(zhí)行拒絕服務(wù)未指明3.7%原型鏈污染1.6%遠(yuǎn)程代碼執(zhí)行拒絕服務(wù)了190個(gè)熱門(mén)CVE,其中影響最大20222023■嚴(yán)重高危中危低危20222023(美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)，由JFrog安全研究團(tuán)隊(duì)進(jìn)行9,9559,1659,079429數(shù)據(jù)顯示，在2022年1月至2023年11月，嚴(yán)重和低危CVE相對(duì)來(lái)說(shuō)變化不大，但中CVSS嚴(yán)重程度評(píng)級(jí)JFrog嚴(yán)重程度圖8.2023年212個(gè)CVE的CVSS評(píng)級(jí)與JFrog嚴(yán)重程度評(píng)級(jí)對(duì)比不過(guò)，并非所有的CVE評(píng)級(jí)都名副其CVE,以確定其實(shí)際影響并進(jìn)行JFrog嚴(yán)重程度評(píng)級(jí)。JFrog嚴(yán)重程度評(píng)級(jí)由JFrog的DevSecOps專(zhuān)家制定，將可利用漏洞的配置要求納入考量。CVSS評(píng)級(jí)只是著眼于漏洞被利用后的嚴(yán)重程度，沒(méi)有考慮漏洞的可利用程度。有時(shí)，可利用漏洞的配置要求或利用方法是針對(duì)特定軟件包或依賴(lài)項(xiàng)的非標(biāo)準(zhǔn)設(shè)置，有可能降低漏洞被利用的可能性。CVSS嚴(yán)重評(píng)級(jí)LCVSS高危評(píng)級(jí)研究團(tuán)隊(duì)將85%的嚴(yán)重CVE和73%的高危CVE下調(diào)了評(píng)級(jí)，而有些中危和低危CVE被上調(diào)評(píng)級(jí)。此外，并不是所有的已知漏洞都能被利用。例如，JFrog此外，并不是所有的已知漏洞都能被利用。例如，JFrog安全研究團(tuán)隊(duì)發(fā)現(xiàn)，在DockerHub社區(qū)最受歡迎的100個(gè)鏡像，CVSS評(píng)分已知常見(jiàn)CVE中，有74%實(shí)際上是不可利用的。從《2023年JFrog安全研究報(bào)告》中可以看出，(圖9)這些數(shù)據(jù)占比基本上保持穩(wěn)定。意外造成的意外造成的CVE是開(kāi)源軟件供應(yīng)鏈潛在風(fēng)險(xiǎn)的最大來(lái)源，可以采取適當(dāng)?shù)念A(yù)防措施來(lái)降低這些風(fēng)險(xiǎn)。正如上文所述，軟件包中存在CVE并不一定意味著該軟件包不能使用。也許更為重要的是監(jiān)控和防止惡意軟件包進(jìn)入您的軟件供應(yīng)鏈，因?yàn)榧词怪皇窍螺d這些軟件包也可能使僅在2022年下半年到2023年上半年，引入開(kāi)源生態(tài)系統(tǒng)的惡意軟件包數(shù)量就增加了一倍有余(從3134增加到6561)。O0下半年下半年下半年JFrog安全研究團(tuán)隊(duì)根據(jù)惡意軟件包對(duì)企業(yè)組織的潛在影響及其進(jìn)入軟件供應(yīng)鏈的方式，評(píng)選出了他們認(rèn)為近期值得注意的惡意軟件包。其中各個(gè)惡意軟件包的簡(jiǎn)介如下：最危險(xiǎn)的npm軟件包，部署名為完全控制被感染的設(shè)備。JFrog報(bào)告了有史以來(lái)第一個(gè)NuGet惡意軟件包，該軟件包部署名為ImpalaStealer的Infostealer。來(lái)源>2023年最危險(xiǎn)的Python惡意軟件包，在受害者的設(shè)備上安裝來(lái)源>首席信息安全官及其團(tuán)隊(duì)知道，您從開(kāi)源社區(qū)引入的軟件包需要加以重點(diǎn)關(guān)注。JFrog在與首席信息安全官、安全團(tuán)隊(duì)和DevSecOps團(tuán)隊(duì)進(jìn)行交流時(shí)，我們也提醒他們，就應(yīng)用程序的整體安全性而言，開(kāi)源軟件包并不是唯一一個(gè)需要注意的方面。2023年，敏感數(shù)據(jù)因?yàn)榉?wù)器不安全、云配置錯(cuò)誤、包含敏感數(shù)據(jù)的文件泄露等原因而在互聯(lián)網(wǎng)上曝光的事件層出不窮。以下總結(jié)了2023年影響最大的配置錯(cuò)誤事件。航空公司CommuteAir的涉恐禁飛名單因?yàn)橐粋€(gè)不安全的服務(wù)器而泄露，這份名單包含150萬(wàn)條禁飛人員信息。美國(guó)特種作戰(zhàn)司令部的內(nèi)部電子郵件因?yàn)榉?wù)器配置錯(cuò)誤而在網(wǎng)上公開(kāi)曝光，泄露了近兩周的未航空公司SafranGroup使用了開(kāi)源視頻通話(huà)應(yīng)證信息泄露。來(lái)源>Capita發(fā)現(xiàn)存放議會(huì)歷史數(shù)據(jù)(包括福利信息)的服務(wù)器并不安全。印度跨國(guó)銀行ICICIBank因?yàn)橐粋€(gè)配置錯(cuò)誤且可公開(kāi)訪(fǎng)問(wèn)的DigitalOcean存儲(chǔ)庫(kù)而泄露了360萬(wàn)客戶(hù)的敏感數(shù)據(jù)。日本汽車(chē)制造商豐田汽車(chē)公司發(fā)現(xiàn)，豐田互聯(lián)(ToyotaConnected)云配置錯(cuò)誤導(dǎo)致日本26萬(wàn)名車(chē)主的信息泄露。來(lái)源>微軟披露，中國(guó)黑客組織Storm-0558利用一系列安全配置錯(cuò)誤，入侵了包括美國(guó)政府機(jī)構(gòu)在內(nèi)的約25個(gè)企業(yè)組織的電子郵件帳戶(hù)。旅游業(yè)巨頭Mondee發(fā)現(xiàn)，由于Oracle云服務(wù)器配置錯(cuò)誤，敏感的客戶(hù)信息被泄露，包括詳細(xì)的航班和酒店行程以及未加密的信用卡號(hào)。微軟的Xbox文件因?yàn)椤奥?lián)邦貿(mào)易委員會(huì)訴微軟微軟因AzureBlobStorage配置錯(cuò)誤致使2.4TB客戶(hù)敏感信息泄露，其中包括2017年至2022年8月的文件。微軟38TB數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限因?yàn)橐粋€(gè)配置錯(cuò)誤的鏈接而意外泄露，使攻擊者可以向微軟人工智能模型注入惡意代碼。IT公司Appscook因?yàn)橐粋€(gè)DigitalOcean存儲(chǔ)庫(kù)而泄露了未成年人的家庭住址和照片等數(shù)據(jù)。該公司開(kāi)發(fā)的應(yīng)用程序被印度和斯里蘭卡的600多所學(xué)校使用。來(lái)源>JFrog安全研究團(tuán)隊(duì)掃描了最常見(jiàn)開(kāi)源軟件注冊(cè)表中的數(shù)百萬(wàn)個(gè)制品：npm、PyPI、RubyGems、crates.io和DockerHub(包括Dockerfiles和小型Docker層)。到目前為止，令牌泄露最多的是AWS、Telegram、GitHub和OpenAI,與2022年的結(jié)果相比新增了OpenAI,這是因?yàn)锳l/ML模型的采用率開(kāi)始提高。同樣值得注意的是，已泄露機(jī)密的總數(shù)同比有所減少。理想情況下，這個(gè)數(shù)字應(yīng)該更接近于零，因?yàn)閺陌踩慕嵌葋?lái)看，這是相對(duì)容易實(shí)現(xiàn)的目標(biāo)，而且市場(chǎng)上有大量的機(jī)密檢測(cè)工具。令牌類(lèi)型awsaccesstelegramtoken github openai sendgrid twilio gitlabv2alibabaoss shopifyplanetscale_password flutterwavejenkinstoken泄露的令牌數(shù)量2,618638589451368282276274圖11.2023年最常見(jiàn)的公開(kāi)泄露訪(fǎng)問(wèn)令牌關(guān)鍵要點(diǎn)上下文分析對(duì)開(kāi)發(fā)人員和安全效率至關(guān)重要上下文分析對(duì)開(kāi)發(fā)人員和安全效率至關(guān)重要保守您的秘密保守您的秘密前端漏洞有很多，但后端漏洞才是真正令人擔(dān)心前端漏洞有很多，但后端漏洞才是真正令人擔(dān)心在2023年的所有CVE隨著軟件供應(yīng)鏈的日益成熟，新的漏洞會(huì)逐漸被發(fā)現(xiàn)。在編碼階段看起來(lái)安全，并不意味著在運(yùn)行時(shí)也是安全的。因此，大多數(shù)企業(yè)組織都在其軟件開(kāi)發(fā)生命周期(SDLC)的各個(gè)階段進(jìn)行安全掃描。最希望引入開(kāi)源軟件時(shí)編碼時(shí)構(gòu)建晉級(jí)部署前運(yùn)行時(shí)表示采取安全措施的最佳階段之一是引入開(kāi)源軟件的IT人員表示，編寫(xiě)代碼是軟件開(kāi)發(fā)生命周期中采取安全措施的最佳階段大多數(shù)受訪(fǎng)者將運(yùn)行時(shí)列為最不希望進(jìn)行安全掃描的階段之一。構(gòu)建時(shí)(59%)和運(yùn)行時(shí)(57%)。安全左移是一個(gè)較為明顯12%的受訪(fǎng)者表示，他們的企業(yè)組超過(guò)半數(shù)的受訪(fǎng)者(56%)表示，他超過(guò)四分之一的受訪(fǎng)者(27%)表進(jìn)行安全掃描(即SAST)。2121大多數(shù)企業(yè)組織都有適當(dāng)?shù)陌踩鉀Q方案，但由于自動(dòng)化代碼掃描的缺位以及使用多種安全掃描工具所帶來(lái)的混亂，開(kāi)發(fā)人員的生產(chǎn)力和效率顯然會(huì)受到影響。在一個(gè)月里，修復(fù)漏洞的工作會(huì)占用開(kāi)發(fā)人員和安全人員25%的工作時(shí)間。使用多點(diǎn)式解決方案的另一個(gè)主要缺點(diǎn)是沒(méi)有端到端的覆蓋軟件供應(yīng)鏈，在安全解決方案覆蓋面或最佳修復(fù)操作可見(jiàn)性方面留下了嚴(yán)重的缺口。的專(zhuān)業(yè)人員表示，他們的企業(yè)組織有適當(dāng)?shù)陌踩鉀Q方案來(lái)檢測(cè)惡意開(kāi)源軟件包。4-9近半數(shù)的受訪(fǎng)者(47%)表示，他們的企業(yè)組織正在使用4到9種單點(diǎn)式應(yīng)用程序安全解決方案。三分之一的受訪(fǎng)者(33%)表示，他們的企業(yè)組織正在使用10種或更多的單點(diǎn)式應(yīng)用程序安全解決方案。您的企業(yè)組織正在使用什么類(lèi)型的單點(diǎn)式應(yīng)用程序安全解決方案?靜態(tài)應(yīng)用程序安全測(cè)試(SAST)軟件成分分析(SCA)動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)API安全交互式應(yīng)用程序安全測(cè)試(IAST)容器安全運(yùn)行時(shí)安全I(xiàn)AC安全其他方案是靜態(tài)應(yīng)用程序安全測(cè)試(61%)、動(dòng)態(tài)應(yīng)用程序安全測(cè)試和API安全(56%)。安全人員靜態(tài)應(yīng)用程序安全測(cè)試靜態(tài)應(yīng)用程序安全測(cè)試軟件成分分析(SCA)動(dòng)態(tài)應(yīng)用程序安全測(cè)試API安全交互式應(yīng)用程序安全測(cè)試(IAST)容器安全運(yùn)行時(shí)安全I(xiàn)AC安全其他中，靜態(tài)應(yīng)用程序安全測(cè)試(63%)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試(62%)是最常用的兩種應(yīng)用程序開(kāi)發(fā)人員開(kāi)發(fā)人員61%%在開(kāi)發(fā)人(員=327)中，API安全(61%)是最常用的應(yīng)用程ITIT/IS多面手%應(yīng)用程序安全測(cè)試(66%)、軟件成分分析(62%)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試(61%)是最常用的三種,100%自動(dòng)75%自動(dòng)近半數(shù)的受訪(fǎng)者(48%)表示，在他們的軟件開(kāi)發(fā)流程中，大約75%到100%是手動(dòng)檢不到1%的受訪(fǎng)者表示，他們?cè)谲浖_(kāi)發(fā)流程中，已完全實(shí)現(xiàn)自動(dòng)化代碼掃描。只有19%的受訪(fǎng)者表示，他們的代碼審查75%是自動(dòng)，另外25%是手動(dòng)。到2026年，全球軟件供應(yīng)鏈安全風(fēng)險(xiǎn)預(yù)計(jì)將造成806億美元的損失。企業(yè)組織花費(fèi)時(shí)間和資金來(lái)提前采取安全防范措施顯然是合理的。雖然將新功能快速推向市場(chǎng)是有效的競(jìng)爭(zhēng)優(yōu)勢(shì)，但企業(yè)組織必須權(quán)衡采取安全防范措施對(duì)企業(yè)生產(chǎn)力和新功能發(fā)布的作用。在在一個(gè)月內(nèi)，您的開(kāi)發(fā)人員或安全團(tuán)隊(duì)通常需要花費(fèi)多少時(shí)間來(lái)修復(fù)應(yīng)用程序漏洞這意味著四分之一的工作時(shí)間被用于修復(fù)漏洞，而不是從事能夠提高商業(yè)價(jià)值的任務(wù)。60%的受訪(fǎng)者表示，在一個(gè)月內(nèi)，他們的開(kāi)發(fā)人員或安全團(tuán)隊(duì)通?；ㄙM(fèi)4天或更多的時(shí)間來(lái)修復(fù)應(yīng)用程序漏洞。天X2424平均而言，受訪(fǎng)者確定了2個(gè)團(tuán)隊(duì)(M=1.95)負(fù)責(zé)管理調(diào)進(jìn)一步的分析顯示，在管理最新版的軟件包DevOps團(tuán)隊(duì)一周或更久超過(guò)半數(shù)的受訪(fǎng)者(58%)表示，獲得批準(zhǔn)使用最新的軟件包/庫(kù)通常需要6另一方面，一些受訪(fǎng)者給出了更長(zhǎng)的批準(zhǔn)等待時(shí)間。五分之二(40%)的受訪(fǎng)者表示，通常需要一周或更長(zhǎng)時(shí)間才能不到一周應(yīng)用程序的安全狀態(tài)并非一成不變超過(guò)四分之一的受訪(fǎng)者(27%)表示，他們的企業(yè)組織僅在代碼層面進(jìn)行安全掃描。然而，如果認(rèn)為在編寫(xiě)代碼到將其投入到生產(chǎn)環(huán)境之間，代碼情況不會(huì)排名最后的是在跨SDLC階段(從質(zhì)量保證到試運(yùn)行)晉級(jí)軟件時(shí)進(jìn)行安全掃描。隨著軟件在SDLC的各個(gè)階段日趨成熟，如果不能自動(dòng)地逐步掃描軟件，自動(dòng)化必不可少，但不應(yīng)該完全取代人工大多數(shù)受訪(fǎng)者都是結(jié)合使用手動(dòng)代碼審查和自動(dòng)掃描代碼。隨著新技術(shù)的出現(xiàn)，這種平衡可能會(huì)出現(xiàn)波動(dòng)，但最好是在兩者之間實(shí)現(xiàn)平衡。自動(dòng)掃描代碼不是手動(dòng)代碼審查的替代品，但如果沒(méi)有它，您幾乎肯定會(huì)錯(cuò)過(guò)某些漏洞。此安全不應(yīng)該以犧牲生產(chǎn)力為代價(jià)您需要保護(hù)您的SDLC,但這必須以一種無(wú)縫的方式進(jìn)行。在安全任務(wù)上花費(fèi)不必要的時(shí)間，篩選來(lái)自多種掃描器的結(jié)果，等待數(shù)天或數(shù)周時(shí)間才能獲準(zhǔn)使用新的軟件包或庫(kù)，這些都是在浪費(fèi)重要的開(kāi)發(fā)時(shí)間。想要在不影響生產(chǎn)力的情況下保護(hù)軟件供應(yīng)鏈，關(guān)鍵點(diǎn)是簡(jiǎn)化使用新軟件包和修復(fù)漏洞的審批流程，實(shí)現(xiàn)監(jiān)控管理策略自動(dòng)化、將安全掃描置于上下文分析中，以及將安全洞察直接引入到開(kāi)發(fā)環(huán)境。這進(jìn)一步促進(jìn)了整合軟件工具、遠(yuǎn)離單點(diǎn)式毫無(wú)疑問(wèn)，人工智能(Al)和機(jī)器學(xué)習(xí)(ML)將對(duì)企業(yè)引入新軟件的內(nèi)Gartner的預(yù)測(cè)，到2027年，90%的新應(yīng)用程序?qū)琈L機(jī)器學(xué)習(xí)模型或服務(wù)。還沒(méi)有在應(yīng)用程序中嵌入ML模型，或者使用ChatGPT和Copilot這樣的AI工具，以后也會(huì)這么做。在本章節(jié)中，我們將討論企業(yè)組織如何的受訪(fǎng)者表示，他們的企業(yè)組織正在采取安全措施/解決方案來(lái)檢查開(kāi)源ML機(jī)器學(xué)習(xí)模型的安全性和合規(guī)性。組織可以采取一些手動(dòng)防范措施，例如根據(jù)發(fā)行商、評(píng)級(jí)等指標(biāo)來(lái)評(píng)估ML模