开源软件安全隐患加剧

关键要点

恶意开源软件包在过去12个月激增至512847个，年增长率达156。开源软件总下载量超过66万亿次，主要集中在JavaScript请求。尽管有更安全的版本，95的不当开源组件仍被下载。超过80的应用依赖在一年内未更新，安全漏洞修复时间延长。软件材料清单SBOM利用率有限，过去一年仅发布60000个，与700万新发布开源组件相比，比例悬殊。

根据SiliconAngle的报道，过去12个月，恶意开源软件包的数量增加至512847个，年增长率高达156。与此同时，开源软件的总下载量已超过66万亿次，其中大多数请求来自JavaScript。

梯子加速器app

这些威胁的加剧，再加上传统安全软件未能有效检测它们，导致了安全实践的改善停滞。根据Sonatype的一项研究，尽管有更安全的版本可供选择，过去一年内仍有95的不当开源组件被下载。此外，组织在超过一年内未更新80的应用依赖性，即使有更安全的版本存在，安全漏洞的修复过程也因维护者的工作负荷过重而变得更加缓慢。

额外发现还显示，软件材料清单SBOM的利用率有限，过去一年发布的SBOM总数仅为60000个，而同期新发布的开源组件接近700万个，这一差距令人担忧。

关键统计数值恶意开源软件包数量512847开源软件总下载量66万亿次年增长率156下载的不当OSS组件比例95未更新的应用依赖比例80发布的SBOM数量60000

在现代软件开发中，不可忽视的安全风险正在显著增加，企业应加强开源软件的使用管理，及时更新依赖并重视安全性，以保护系统和数据的安全。具体措施包括定期审计开源组件、使用软件材料清单SBOM追踪软件组件和依赖关系等。