全球软件供应链发展报告（34页）

行业报告下载 2024年07月12日 06:42 管理员

如今企业建立的软件供应链采用多种技术、集成的软件工具来源复杂并且跨越异国服务器，很多企业组织使用十几种编程语言。每年用于开发生产发布软件的软件包技术都是“熟面孔”，与传统的编程语言相比，Rust 等新型编程语言仍然相对小众。JFrog 的数据变化不大，但 TIOBE Index 等其它数据显示，Rust 语言的流行度在 2023 年至 2024 年有所放缓，从第 18 位降至第 19 位。可用于开发应用程序的开源软件包和库越来越多，但这将使企业组织面临更大的潜在安全风险，我们将在本报告中对此进行详细阐述。JFrog Catalog 有关公共注册表的数据显示，按包类型划分，Docker 和 npm 贡献了最多的新软件包，企业组织对 PyPI 的兴趣也在增加，可能是 AI/ML 应用所致。我们可以看到，与 2022 年相比，2023 年新的 npm 和 DockerHub 软件包显著增加。就 DockerHub 而言，增速与前几年一致（2021 年约 1 万个，2022 年约 2.2 万个，2023 年约 150 万个）。但就 npm 来说，增速与前几年并不一致（2021 年约 36.2 万个， 2022 年约 43.3 万个，2023 年约 130 万个）。有趣的是，npm 增长的部分原因是，提交给 npm 的所有新软件包（截至 2023 年 3 月）中有近一半是 SEO 垃圾信息。这进一步表明，网络攻击者仍然非常热衷于把 npm 作为攻击目标。总的来说，可用软件包的数量在不断增长，导致企业的软件供应链日益庞大。垃圾邮件、恶意软件包和相关安全风险是新软件包和库的自然组成部分，鉴于软件包的快速迭代，企业需要付出巨大的努力，对它们进行妥善管理。新软件包日益增多，再加上越来越多的企业组织选择使用开源软件包，我们需要在没有相应支持的情况下，付出更多的努力来管理开源生态系统的组件并确保其安全性。

全球软件供应链发展报告（34页）