栏目分类

热点资讯

产品中心

你的位置:下载澳门银座 > 产品中心 >

2021 年开源安置包下载量将超 2.2 万亿,开源抨击添长 650%

2021-09-19 10:21

Sonatype 发布了最新的 2021 年柔件供答链状况通知,共钻研了 10 万个生产行使和 400 万个由开发者进走的组件迁移,以及与 Java(Maven Central)、JavaScript(npmjs)、Python(PyPI)和 .Net(nuget)生态体系有关的供答、需乞降坦然趋势。一些亮点内容如下:

开源供答、需乞降坦然漏洞都已呈爆炸性添长

供答量增补了 20%。排名前四的开源生态体系现在包含统统 37,451,682 个分歧版本的组件。这些社区在以前一年中统统发布了 6,302,733 个新版本的组件/包,并推出了 723,570 个崭新项现在,以声援全球 2700 万开发人员。

开发者对开源的需要同比添长 73%。2021 年,全球开发者将以前四大生态体系下载超过 2.2 万亿个开源安置包。不过尽管下载量赓续添长,但在生产行使中行使的可用组件的比例却矮得令人震惊。

开源抨击增补了 650%。2021 年,世界现在击了旨在行使上游开源生态体系弊端的柔件供答链抨击呈指数级添长。

生产行使仅行使了 6% 的可用开源项现在。尽管有大量可用的开源项现在,但行使率却荟萃在数目惊人的炎门项现在上。

通走的开源项现在更容易受到抨击。29% 的通走项现在版本起码包含一个已知的坦然漏洞。相逆,只有 6.5% 的非通走项现在版本这样,这外明坦然钻研人员(暗帽和白帽)都荟萃在行使率最高的项现在上。

Sonatype 方面指出,今年的柔件供答链状况通知再次外明,开源既是数字创新的关键燃料,也是柔件供答链抨击的成熟现在标。固然开发者对盛开源代码的需要赓续成倍添长,但钻研外明,整个供答量中真实被行使的却极少。 此外,通走项现在含有不走比例的更众漏洞。这个厉峻的现实特出了工程领导的主要义务和机会,即拥抱智能自动化;以便他们能够标准化最佳开源供答商,并同时协助开发人员保持第三方库的稀奇度和最佳版本的更新。

一些开源项现在比其他项现在更益

具有更快平均更新时间 (MTTU) 的项现在更坦然,他们被发现存在漏洞的能够性要矮 1.8 倍。 受迎接水平并不是坦然性的良益展望指标,通走的开源项现在包含漏洞的能够性是其他项主意 2.8 倍。

开发团队之间的倚赖性管理实践迥异很大

柔件开发人员在更新第三方倚赖有关时,69% 的时间会做出次优选择。较新版本的项现在清淡比较益,但纷歧定是最益的。 商业工程团队只管理他们所行使的 25% 的组件,使他们的大片面开源倚赖项过时并容易受到坦然风险增补的影响。 自动化能够为企业每年撙节 192,000 美元。配备智能自动化,一个拥有 20 个行使开发团队的中型企业每年将统统撙节 160 个 developer days。

完善通知可查望

本文转自OSCHINA

本文标题:2021 年开源安置包下载量将超 2.2 万亿,开源抨击添长 650%

本文地址:https://www.oschina.net/news/160643/2021-state-of-the-software-supply-chain

Powered by 下载澳门银座 @2013-2021 RSS地图 HTML地图