2024年全球软件供应链发展报告

2024年全球件从创新到展防范软件生态系统中的隐藏风险 2 3 5 6最常用的软件编程语言 7关键要点 8 险…………………9在特定技术或软件包类型中发现的漏洞 软件供应链中漏洞的严重程度 最危险的恶意软件包 隐藏在代码中的其它安全风险 关键要点 企业组织需要在哪个阶段进行安全扫描 2修复安全漏洞耗时多久 关键要点 关键要点 法……………………31JFrog平台使用数据 JFrog安全研究团队的分析 JFrog是一家专注于提升企业软件供应链安全性的公司，拥有专门的安全研究团队，能够为开发和安全团队提供强有力的技术支持。JFrog深知企业管理和保护整个软件供应链是交付安全可信软件的基础所在。随着开源生态的不断发展，以及企业在软件供应链中应用的开源工具不断增多，企业的DevSecOps流程是否也在与时俱进?为了解答这个重要问题，本报告结合JFrog平台的数百万用户的使用数据、JFrog安全研究团队的CVE分析，以及来自委托第三方调查的1,224名安全、开发和运维人员的数据，为保障企业软件供应链安全提供了上下文分析，揭示了安全风险所在，并展示了如何在保护软件供应链安全的同时保持行业竞争力。欢迎向datareport@提供反馈意见。现如今，每家企业的软件供应链集成应用的软件工具错综复杂，企业组织面临着比以往更大的安全风险。如果企业领导者选择合适的软件工具、管理与监控工作流程和实践，便可借助多场景化管理软件供应链的实践，巩固企业的安全态势并确保持续增长的竞争优势。N77随着越来越多的开源组件涌现，企业的软件供应链(SSC)变·约半数的企业组织(53%)使用4-9种编程语言，31%的·按软件包类型划分，Docker和npm贡献了最多的新软件·在生产发布软件中使用最多的技术是Maven、npm、企业组织最终都以安全理念为核心，但企业采用的安全解决方案却大相径庭，每个月要花费开发团队大约四分之一的工作时间，来处理和安全相关的工作任务。·89%的受访人员(安全、开发和运维)表示，他们所在的企业已经采用了OpenSSF或SLSA等安全框架。·三分之一的企业组织(33%)使用10种或更多的软件安全工具，近一半的企业组织(47%)使用4-9种软件安·60%的受访者表示，他们的团队通常每个月要花费4天或更多的时间来修复应用程序漏洞。·94%的受访者表示，他们的企业组织正采取措施来审查开源机器学习模型的安全性和合规性。·90%的受访者表示，他们的企业组织正在使用Al/ML应用来协助开展安全工作，基础工程师比团队领导更有机会说明他们没有这么做但应该这样做。·近五分之一的受访者表示，出于安全和合规考虑，他们所在的企业组织不允许使用Al/ML来编写代码。亚安全风险藏在何处虽然安全风险超出了开源范畴，但并非所有的已知安全漏洞·2023年，全球安全研究机构报告了超过2.6万个新的CVE,漏洞数量继续呈现同比增长的趋势。·在DockerHub社区最受欢迎的100个镜像中，CVSS·在企业的软件供应链中，人为操作失误和机密泄露是潜33如今企业建立的软件供应链采用多种技术、集成的软件工具来源复杂并且跨越异国服务器，很多企业组织使用十几种编程语言。每年用于开发生产新型编程语言仍然相对小众。JFrog的数据变化不大，但TIOBEIndex等其它数据显示，Rust语言的流行度在2023年至2024年有所放缓，从第18位降至第19位。可用于开发应用程序的开源软件包和库越来越多，但这将使企业组织面临更大的潜在安全风险，我们将在本报告中对此进行详细阐述。所有企业组织所有企业组织■1-3种语言■4-9种语言不到2,000名员工2,000-4,999名员工超过5,000名员工(委托调查，2023年)>5,000名员工<5,000名员工4-9种语言10多种语言10多种语言10多种语言超过半数的受访者(53%)表示，他们的软件开发团队使用4到9种编程语言。近三分之一(31%)的受访者表示，他们使用10种或以上的编程语言。规模超过5,000名员工的企业组织更有可能使用10种以上的编程语言(39%对23%)。55包管理器新软件包数量皿MavenCentral270,310433,627362,295239,594224,425317,45779,98870,21674,82563,05777,84259,79462,95927,28025,25629,2245,4355,5567,024按包类型划分，Docker和npm贡献了最多的新软件包，企业组织对PyPI的兴趣也在增加，可能是Al/ML应用所致。我们可以看到，与2022年相比，2023年新的npm和DockerHub软件包显著增加。就DockerHub而言，增速与前几年一致(2021年约1万个，2022年约2.2万个，2023年约150万个)。但就npm来说，增速与前几年并不一致(2021年约36.2万个，2022年约43.3万个，2023年约130万交给npm的所有新软件包(截至2023年3月)中有近一半是SEO垃圾信息。这进一步表明，网络攻击者仍然非常热衷于把npm意软件包和相关安全风险是新软件包和库的自然组成部分，鉴于软件包的快速迭代，企业需新软件包日益增多，再加上越来越多的企业组织选择使用开源软件包，我们需要在没有相应支持的情况下，付出更多的努力来管理开源生态系统的组件并确保其安全性。66如图所示，JFrog为30多种软件包生支持，但在生产发布软件中最常用的编程语言到上传/下载次数、仓库数量和存储的制品总数，软件开发团队显然优先考虑使用这些编程语有趣的是，特定的垂直行业往往使用常用的编程语言来解决类似的用例，例如：如图所示，JFrog为30多种软件包生支持，但在生产发布软件中最常用的编程语言到上传/下载次数、仓库数量和存储的制品总数，软件开发团队显然优先考虑使用这些编程语有趣的是，特定的垂直行业往往使用常用的编程语言来解决类似的用例，例如：·汽车和物联网公司使用Maven(后端应用程序)、npm(前端应用程序)、Docker和PyPI(用于AI/ML),并经常将其中的许多技术捆绑成通用软件包·机器人和AI/MLOps公司使用PyPI和模型存储在容器或通用软件包(tar/zip)HuggingFace这样的原生仓库。Al/ML的普及，为了保持竞争优势，这些公司也开始利用PyPI和ML模型来提供更好的产品。图3.所使用的软件编程语言，以及各种软件包类型的操作次数、仓库数量和存储的制品总数(Artifactory数据库，2023年)4,230,979,13841,475Maven2,413,056,68786,892707,159,728Docker729,414,900474,179,862PyPl283,195,75724,581,41424,729,953Nuget33,644,631Conan76,374,26180,157,110Helm38,498,2696,383,947Gradle26,109,716Gems24,994,6257,805,418Debian6,220,508YUM9,217,9142,0403,114,418ComposerTerraform2,835,3342,664,448CondaAlpineCocoapodsChefCargo247,529BowerCranVCS62,427PuppetHuggingfacemlVagrant77关键要点传统软件技术依旧占据重要地位传统软件技术依旧占据重要地位AI开发兴起当前使用的编程语言和包类型多种容器化已经成为一接流来呢?具和监控流程，确保安全地使用10多种编程语言可以管理方面的支出预计将达到2150亿美元，较2023年增长2023年，全球安全研究人员报告了超过2.6万个新的CVE(基于添加到美国国家漏洞数据库的CVE数量，该数据库也是由JFrog安全研究团队审查),需要应对的漏洞数量继续逐年递增。高危高危CVE%(数量)44%(1138)44%(807)38%(354)34%(169)40%(196)40%(190)51%(64)56%(34)49%(895)46%(438)48%(240)42%(208)(数量)50%(1,293)Alpine42%(52)33%(20)2,603(172)20)严重CVE%52%(1,026)软件包类型49%(230)Debian在通过开源生态系统引入漏洞方面，并非所有的软件技术都表现一样。虽然Debian和RPM的漏洞最多，但npm和PyPl的严重CVE漏洞占比最大，其次是Maven。大多数的Debian和Alpine代码库都是C/C++代码和Linux。由于两者都是Linux系统，您很可能会在这两种软件包类型中发现相同的漏洞，Debian的漏洞更多，因为它的应用更为广泛，贡献的软件包也更多。排名2921232021CVE数量2668731713462386293-283274273242233-2022排名CVE数量(同比)31720(+135%)一708(+29%)691(+50%)550(+15%)18211(+14%)32140(-18%)排名32002023CVE数量(同比)4062(+28%)1824(+6%)-461(-16%)433(+121%)231(+65%)194(-15%)图5.与2022年和2021年相比，2023年发现的常见漏洞在2023年发现的漏洞中，到目前为止最常见的通用缺陷入。自2021年以来，这三个漏洞始终跻身前五大最常见的潜在漏洞之列。其中，跨站脚本在CVE中的发生率继续上升，同比增长28%。跨站请求伪造(CSRF)变得越来越普遍，在最常见漏洞中的排名从2021年的第9位升至2023年的第4位。很容易受到随机因素和其它噪音的影响。例如，通过分析过去20年的情况，我们会发现更有意义的趋势：低级编程语言和高级编程语言的流行度会影响内存损坏漏洞和高级web漏洞的数未指明6.4%4.3%远程代码执行拒绝服务未指明3.7%原型链污染1.6%远程代码执行拒绝服务了190个热门CVE,其中影响最大20222023■严重高危中危低危20222023(美国国家漏洞数据库，由JFrog安全研究团队进行9,9559,1659,079429数据显示，在2022年1月至2023年11月，严重和低危CVE相对来说变化不大，但中CVSS严重程度评级JFrog严重程度图8.2023年212个CVE的CVSS评级与JFrog严重程度评级对比不过，并非所有的CVE评级都名副其CVE,以确定其实际影响并进行JFrog严重程度评级。JFrog严重程度评级由JFrog的DevSecOps专家制定，将可利用漏洞的配置要求纳入考量。CVSS评级只是着眼于漏洞被利用后的严重程度，没有考虑漏洞的可利用程度。有时，可利用漏洞的配置要求或利用方法是针对特定软件包或依赖项的非标准设置，有可能降低漏洞被利用的可能性。CVSS严重评级LCVSS高危评级研究团队将85%的严重CVE和73%的高危CVE下调了评级，而有些中危和低危CVE被上调评级。此外，并不是所有的已知漏洞都能被利用。例如，JFrog此外，并不是所有的已知漏洞都能被利用。例如，JFrog安全研究团队发现，在DockerHub社区最受欢迎的100个镜像，CVSS评分已知常见CVE中，有74%实际上是不可利用的。从《2023年JFrog安全研究报告》中可以看出，(图9)这些数据占比基本上保持稳定。意外造成的意外造成的CVE是开源软件供应链潜在风险的最大来源，可以采取适当的预防措施来降低这些风险。正如上文所述，软件包中存在CVE并不一定意味着该软件包不能使用。也许更为重要的是监控和防止恶意软件包进入您的软件供应链，因为即使只是下载这些软件包也可能使仅在2022年下半年到2023年上半年，引入开源生态系统的恶意软件包数量就增加了一倍有余(从3134增加到6561)。O0下半年下半年下半年JFrog安全研究团队根据恶意软件包对企业组织的潜在影响及其进入软件供应链的方式，评选出了他们认为近期值得注意的恶意软件包。其中各个恶意软件包的简介如下：最危险的npm软件包，部署名为完全控制被感染的设备。JFrog报告了有史以来第一个NuGet恶意软件包，该软件包部署名为ImpalaStealer的Infostealer。来源>2023年最危险的Python恶意软件包，在受害者的设备上安装来源>首席信息安全官及其团队知道，您从开源社区引入的软件包需要加以重点关注。JFrog在与首席信息安全官、安全团队和DevSecOps团队进行交流时，我们也提醒他们，就应用程序的整体安全性而言，开源软件包并不是唯一一个需要注意的方面。2023年，敏感数据因为服务器不安全、云配置错误、包含敏感数据的文件泄露等原因而在互联网上曝光的事件层出不穷。以下总结了2023年影响最大的配置错误事件。航空公司CommuteAir的涉恐禁飞名单因为一个不安全的服务器而泄露，这份名单包含150万条禁飞人员信息。美国特种作战司令部的内部电子邮件因为服务器配置错误而在网上公开曝光，泄露了近两周的未航空公司SafranGroup使用了开源视频通话应证信息泄露。来源>Capita发现存放议会历史数据(包括福利信息)的服务器并不安全。印度跨国银行ICICIBank因为一个配置错误且可公开访问的DigitalOcean存储库而泄露了360万客户的敏感数据。日本汽车制造商丰田汽车公司发现，丰田互联(ToyotaConnected)云配置错误导致日本26万名车主的信息泄露。来源>微软披露，中国黑客组织Storm-0558利用一系列安全配置错误，入侵了包括美国政府机构在内的约25个企业组织的电子邮件帐户。旅游业巨头Mondee发现，由于Oracle云服务器配置错误，敏感的客户信息被泄露，包括详细的航班和酒店行程以及未加密的信用卡号。微软的Xbox文件因为“联邦贸易委员会诉微软微软因AzureBlobStorage配置错误致使2.4TB客户敏感信息泄露，其中包括2017年至2022年8月的文件。微软38TB数据的访问权限因为一个配置错误的链接而意外泄露，使攻击者可以向微软人工智能模型注入恶意代码。IT公司Appscook因为一个DigitalOcean存储库而泄露了未成年人的家庭住址和照片等数据。该公司开发的应用程序被印度和斯里兰卡的600多所学校使用。来源>JFrog安全研究团队扫描了最常见开源软件注册表中的数百万个制品：npm、PyPI、RubyGems、crates.io和DockerHub(包括Dockerfiles和小型Docker层)。到目前为止，令牌泄露最多的是AWS、Telegram、GitHub和OpenAI,与2022年的结果相比新增了OpenAI,这是因为Al/ML模型的采用率开始提高。同样值得注意的是，已泄露机密的总数同比有所减少。理想情况下，这个数字应该更接近于零，因为从安全的角度来看，这是相对容易实现的目标，而且市场上有大量的机密检测工具。令牌类型awsaccesstelegramtoken github openai sendgrid twilio gitlabv2alibabaoss shopifyplanetscale_password flutterwavejenkinstoken泄露的令牌数量2,618638589451368282276274图11.2023年最常见的公开泄露访问令牌关键要点上下文分析对开发人员和安全效率至关重要上下文分析对开发人员和安全效率至关重要保守您的秘密保守您的秘密前端漏洞有很多，但后端漏洞才是真正令人担心前端漏洞有很多，但后端漏洞才是真正令人担心在2023年的所有CVE随着软件供应链的日益成熟，新的漏洞会逐渐被发现。在编码阶段看起来安全，并不意味着在运行时也是安全的。因此，大多数企业组织都在其软件开发生命周期(SDLC)的各个阶段进行安全扫描。最希望引入开源软件时编码时构建晋级部署前运行时表示采取安全措施的最佳阶段之一是引入开源软件的IT人员表示，编写代码是软件开发生命周期中采取安全措施的最佳阶段大多数受访者将运行时列为最不希望进行安全扫描的阶段之一。构建时(59%)和运行时(57%)。安全左移是一个较为明显12%的受访者表示，他们的企业组超过半数的受访者(56%)表示，他超过四分之一的受访者(27%)表进行安全扫描(即SAST)。2121大多数企业组织都有适当的安全解决方案，但由于自动化代码扫描的缺位以及使用多种安全扫描工具所带来的混乱，开发人员的生产力和效率显然会受到影响。在一个月里，修复漏洞的工作会占用开发人员和安全人员25%的工作时间。使用多点式解决方案的另一个主要缺点是没有端到端的覆盖软件供应链，在安全解决方案覆盖面或最佳修复操作可见性方面留下了严重的缺口。的专业人员表示，他们的企业组织有适当的安全解决方案来检测恶意开源软件包。4-9近半数的受访者(47%)表示，他们的企业组织正在使用4到9种单点式应用程序安全解决方案。三分之一的受访者(33%)表示，他们的企业组织正在使用10种或更多的单点式应用程序安全解决方案。您的企业组织正在使用什么类型的单点式应用程序安全解决方案?静态应用程序安全测试(SAST)软件成分分析(SCA)动态应用程序安全测试(DAST)API安全交互式应用程序安全测试(IAST)容器安全运行时安全IAC安全其他方案是静态应用程序安全测试(61%)、动态应用程序安全测试和API安全(56%)。安全人员静态应用程序安全测试静态应用程序安全测试软件成分分析(SCA)动态应用程序安全测试API安全交互式应用程序安全测试(IAST)容器安全运行时安全IAC安全其他中，静态应用程序安全测试(63%)和动态应用程序安全测试(62%)是最常用的两种应用程序开发人员开发人员61%%在开发人(员=327)中，API安全(61%)是最常用的应用程ITIT/IS多面手%应用程序安全测试(66%)、软件成分分析(62%)和动态应用程序安全测试(61%)是最常用的三种,100%自动75%自动近半数的受访者(48%)表示，在他们的软件开发流程中，大约75%到100%是手动检不到1%的受访者表示，他们在软件开发流程中，已完全实现自动化代码扫描。只有19%的受访者表示，他们的代码审查75%是自动，另外25%是手动。到2026年，全球软件供应链安全风险预计将造成806亿美元的损失。企业组织花费时间和资金来提前采取安全防范措施显然是合理的。虽然将新功能快速推向市场是有效的竞争优势，但企业组织必须权衡采取安全防范措施对企业生产力和新功能发布的作用。在在一个月内，您的开发人员或安全团队通常需要花费多少时间来修复应用程序漏洞这意味着四分之一的工作时间被用于修复漏洞，而不是从事能够提高商业价值的任务。60%的受访者表示，在一个月内，他们的开发人员或安全团队通常花费4天或更多的时间来修复应用程序漏洞。天X2424平均而言，受访者确定了2个团队(M=1.95)负责管理调进一步的分析显示，在管理最新版的软件包DevOps团队一周或更久超过半数的受访者(58%)表示，获得批准使用最新的软件包/库通常需要6另一方面，一些受访者给出了更长的批准等待时间。五分之二(40%)的受访者表示，通常需要一周或更长时间才能不到一周应用程序的安全状态并非一成不变超过四分之一的受访者(27%)表示，他们的企业组织仅在代码层面进行安全扫描。然而，如果认为在编写代码到将其投入到生产环境之间，代码情况不会排名最后的是在跨SDLC阶段(从质量保证到试运行)晋级软件时进行安全扫描。随着软件在SDLC的各个阶段日趋成熟，如果不能自动地逐步扫描软件，自动化必不可少，但不应该完全取代人工大多数受访者都是结合使用手动代码审查和自动扫描代码。随着新技术的出现，这种平衡可能会出现波动，但最好是在两者之间实现平衡。自动扫描代码不是手动代码审查的替代品，但如果没有它，您几乎肯定会错过某些漏洞。此安全不应该以牺牲生产力为代价您需要保护您的SDLC,但这必须以一种无缝的方式进行。在安全任务上花费不必要的时间，筛选来自多种扫描器的结果，等待数天或数周时间才能获准使用新的软件包或库，这些都是在浪费重要的开发时间。想要在不影响生产力的情况下保护软件供应链，关键点是简化使用新软件包和修复漏洞的审批流程，实现监控管理策略自动化、将安全扫描置于上下文分析中，以及将安全洞察直接引入到开发环境。这进一步促进了整合软件工具、远离单点式毫无疑问，人工智能(Al)和机器学习(ML)将对企业引入新软件的内Gartner的预测，到2027年，90%的新应用程序将包含ML机器学习模型或服务。还没有在应用程序中嵌入ML模型，或者使用ChatGPT和Copilot这样的AI工具，以后也会这么做。在本章节中，我们将讨论企业组织如何的受访者表示，他们的企业组织正在采取安全措施/解决方案来检查开源ML机器学习模型的安全性和合规性。组织可以采取一些手动防范措施，例如根据发行商、评级等指标来评估ML模