| +22 голоса |
|
Розробник платформи безпеки ланцюжка постачання програмного забезпечення, компанія Sonatype випустила свій 10-й щорічний звіт State of the Software Supply Chain. Спираючись на дані з понад 7 млн проєктів з відкритим вихідним кодом, дослідники визначили ключові моменти у сегменті.
Так звіт висвітлює зростаючу загрозу шкідливого ПЗ з відкритим вихідним кодом та ризики ланцюжка постачання ПЗ на тлі рекордного року споживання відкритого коду – 6,6 трлн завантажень.
Використання Python (PyPI) зросло на 80% порівняно з минулим роком, досягнувши понад 530 трлн запитів пакетів. В той час як завантаження JavaScript (npm) збільшилося на 70%, досягнувши 4,5 трлн запитів пакетів.
За даними Sonatype, кількість шкідливих пакетів зросла на 156% порівняно з минулим роком – понад 704102 з 2019 року.
Видавці не можуть встигати за усуненням відомих вразливостей CVE (Common Vulnerabilities and Exposures). Оскільки кількість CVE продовжує зростати в геометричній прогресії, усунення кількох критичних вразливостей у 2024 році зайняло понад 500 днів, що свідчить про те, що розробники намагаються впоратися з накопиченою кількістю вразливостей.
Самовпевненість споживачів підживлює постійні ризики. Попри те, що понад 99% пакетів мають оновлені версії, 80% залежностей додатків залишаються не оновленими понад рік. Крім того, у 95% випадків, коли використовуються вразливі компоненти, вже існує виправлена версія.
Проєкти з відкритим вихідним кодом з платною підтримкою майже втричі частіше мають комплексну політику безпеки. Крім того, компоненти з платною підтримкою усувають вразливості на 45% швидше і мають вдвічі менше вразливостей загалом.
Стратегія охолодження ЦОД для епохи AI
| +22 голоса |
|
