企业软件开发人员继续在应用中使用有缺陷的代码

2021-09-11 11:46:02来源:

开发企业应用程序的公司平均下载超过200,000个开源组件 - 其中16个组件中的一个具有安全漏洞。

这表明软件供应链的状态差,这是唯一对第三方代码的依赖的唯一依赖的问题,与软件库存实践增加相结合。

根据软件开发生命周期公司的超声证,第三方组件占今天典型企业申请中的80%至90%的代码。

该公司发现,去年开源Java组件最大的公共储存量最大的公共储存量达到了310亿,而2014年的增长率为82%。

SONATYPE为中央存储库运行托管基础架构,默认存储库为Apache Maven,SBT和其他Java软件构建工具。该公司没有警察进出存储库;这项任务落到了为其贡献组件的开源开发人员社区。

平均公司每年下载超过229,000个组件,但其中只有约5,000个是独一无二的,Sonatype在周一发布的“软件供应链状态”报告中表示。在那些下载的组件中,16中的1个具有安全缺陷。

这也反映在生产中。对25,000名企业申请的分析表明,其中大约7%的组件至少有一个已知的脆弱性。

超过两年的组件占风险的80%,但遗憾的是,它们还代表了应用程序中使用的所有组件的一半。

SONATYPE估计它将花费2,000个申请约740万份的企业,以便仅通过消费组件引入的10%的缺陷和漏洞。

在其他行业(如制造)中常见的供应链管理实践将帮助软件开发人员大大降低维护成本。这些包括进行严格选择组件供应商,仅选择最高质量的组件和跟踪使用这些组件的时间和跟踪。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章