[ad_1]
Nel 2023, si è registrato un calo del 18% nel numero di progetti open source considerati “mantenuti attivamente”. Questo secondo Sonatype Rapporto annuale sullo stato della catena di fornitura del software.
Il rapporto afferma che solo l’11% dei progetti open source viene effettivamente mantenuto attivamente.
Nonostante questi difetti, Sonatype continua ad affermare che il 96% delle vulnerabilità sono evitabili. Sono stati effettuati 2,1 miliardi di download di software open source che presentavano vulnerabilità note per le quali esisteva una versione più recente con il problema risolto.
“Molti manutentori sono molto diligenti: le grandi aziende tecnologiche fanno di tutto per assumere persone di talento per mantenere le librerie su cui fanno affidamento”, ha affermato Brian Fox, CTO di Sonatype. “Il nostro settore deve indirizzare i propri sforzi verso il posto giusto. Il fatto che sia stata eseguita una correzione per quasi tutti i download di componenti con una vulnerabilità nota ci dice che un obiettivo immediato dovrebbe essere quello di supportare gli sviluppatori nel diventare migliori decisori e dare loro l’accesso agli strumenti giusti. L’obiettivo è aiutare gli sviluppatori a essere più intenzionali nel scaricare software open source da progetti con il maggior numero di manutentori e l’ecosistema di contributori più sano. Ciò non solo creerà software più sicuro, ma recupererà anche quasi due settimane di tempo sprecato dagli sviluppatori ogni anno”.
Il numero di attacchi alla catena di fornitura continua ad aumentare di anno in anno. Nel 2023 si sono verificati il doppio degli attacchi rispetto al numero combinato del periodo 2019-2022. Ciò equivale a 245.032 pacchetti dannosi, con un download open source su otto contenente una vulnerabilità nota.
Sonatype ha anche affermato di aver riscontrato una discrepanza tra il livello di sicurezza che le aziende pensano di essere e la realtà. Il 67% afferma di essere sicuro di non avere codice proveniente da librerie vulnerabili nei propri sistemi, ma il 10% ha subito una violazione della sicurezza a causa di componenti vulnerabili quest’anno.
Infine, l’azienda ha scoperto che il 39% delle aziende rileva una vulnerabilità entro un periodo compreso tra uno e sette giorni, il 29% impiega più di una settimana e il 28% impiega meno di un giorno.
[ad_2]
Source link
