行业新闻与博客

根据 Sonatype 的调查，过去一年中，有四分之一的组织因与应用程序开发过程有关的漏洞而遭受破坏，其中大多数是通过开源组件来实现的。

DevOps 自动化公司的 2020 DevSecOps 社区调查  基于全球 5045 名软件专业人员的反馈。

它显示，在过去 12 个月内报告违规的 24％的响应组织中，有 21％将此与使用第三方组件相关联。

尽管它们也可能包含漏洞，有时甚至包含恶意软件，但它们在 DevOps 从业人员中非常受欢迎，因为它们有助于加快新产品的发布。

有趣的是，对于那些具有成熟的 DevOps 惯例（包括为所有组件保留软件物料清单（SBOM））的组织，报告的开源组件违反数量上升到 28％。

Sonatype 声称，这可能是由于与发现和报告此类问题相关的文化差异。

报告补充说：“ DevOps 实践和思想领袖继续认为，成熟的 DevOps 文化支持积极寻求信息，欢迎新信息并且桥接职能部门的行为，这是一种值得回报的方案。”

“失败并非在成熟的 DevOps 实践中保持沉默，而是值得的。对于成熟的 DevOps 实践而言，意识是推动变革的最佳手段之一。”

该报告还建议，满意的开发人员更可能对整体网络安全有利：在代码质量方面，他们忽略安全性的可能性要低 3.6 倍，使用自动安全工具的可能性要高 2.3 倍，而在代码质量方面则要高 1.3 倍更有可能遵循开源安全策略。

去年 Sonatype 的研究表明，在过去五年中，与开源相关的违规行为增加了 71％。英国公司平均下载了 21,000 个已知包含漏洞的软件组件。

本文由机器译制