企业软件开发人员继续在应用中使用有缺陷的代码

2021-09-11 11:46:02来源：

开发企业应用程序的公司平均下载超过200,000个开源组件 - 其中16个组件中的一个具有安全漏洞。

这表明软件供应链的状态差，这是唯一对第三方代码的依赖的唯一依赖的问题，与软件库存实践增加相结合。

根据软件开发生命周期公司的超声证，第三方组件占今天典型企业申请中的80％至90％的代码。

该公司发现，去年开源Java组件最大的公共储存量最大的公共储存量达到了310亿，而2014年的增长率为82％。

SONATYPE为中央存储库运行托管基础架构，默认存储库为Apache Maven，SBT和其他Java软件构建工具。该公司没有警察进出存储库;这项任务落到了为其贡献组件的开源开发人员社区。

平均公司每年下载超过229,000个组件，但其中只有约5,000个是独一无二的，Sonatype在周一发布的“软件供应链状态”报告中表示。在那些下载的组件中，16中的1个具有安全缺陷。

这也反映在生产中。对25,000名企业申请的分析表明，其中大约7％的组件至少有一个已知的脆弱性。

超过两年的组件占风险的80％，但遗憾的是，它们还代表了应用程序中使用的所有组件的一半。

SONATYPE估计它将花费2,000个申请约740万份的企业，以便仅通过消费组件引入的10％的缺陷和漏洞。

在其他行业（如制造）中常见的供应链管理实践将帮助软件开发人员大大降低维护成本。这些包括进行严格选择组件供应商，仅选择最高质量的组件和跟踪使用这些组件的时间和跟踪。

版权及免责声明：凡本网所属版权作品，转载时须获得授权并注明来源“科技金融网”，违者本网将保留追究其相关法律责任的权力。凡转载文章，不代表本网观点和立场，如有侵权，请联系我们删除。