Sonatype は 、最新のソフトウェア サプライ チェーンの現状レポートを発表しました。このレポートでは、選択肢に満ちた世界でより良いソフトウェアを定義する方法を掘り下げ、ソフトウェア開発に対する人工知能 (AI) の広範な影響を調査し、オープンソースの供給についても調査しています。要件とセキュリティの間の複雑な相互作用。
このレポートは、Java (Maven)、JavaScript (npm)、Python (PyPI)、.NET (NuGet Gallery) の 4 つの主要なオープン ソース エコシステムにおけるオープン ソース アプリケーションの成長を追跡しています。利用可能なオープンソース プロジェクトの数は、2022 年から 2023 年の間に平均 29% 増加すると予想されます。2023 年に、オープンソース プロジェクトは平均 15 の利用可能なバージョンをリリースし、さまざまなオープンソース レジストリの特定のエコシステムは平均 10 ~ 22 のバージョンをリリースしました。これは、毎月 1 ~ 2 つの新しいバージョンがリリースされ、観測されたエコシステムでは合計 6,000 万の新しいバージョンがリリースされることを意味します。
テストされたすべてのエコシステムは、平均前年比成長率 29% という一貫したプロジェクトの成長を示しました。
しかし、オープンソース コンポーネントの供給が増え続ける中、需要が追いついていません。ダウンロード数の増加率は過去 2 年間で徐々に低下しています。2023年の平均成長率は33%で、2021年の73%から大幅に低下している。
一方、オープンソース ソフトウェアのセキュリティへの懸念は衰える気配がありません。2023 年 9 月の時点で、研究チームは合計 245,032 個のマルウェア パッケージを発見しました。これは、前年の合計の 2 倍です。オープンソース ダウンロードの 8 件に 1 件には既知のリスクがあり、Log4j ダウンロードの 23% には依然として重大な脆弱性が存在します。
オープンソース プロジェクトの積極的なメンテナンスもますます少なくなってきています。調査によると、昨年はほぼ 5 件に 1 件 (18.6%) のプロジェクトがメンテナンスを停止し、Java と JavaScript のエコシステムに影響を与えました。実際にアクティブにメンテナンスされているオープンソース プロジェクトは 11% のみです。これらの欠陥にもかかわらず、Sonatype は、既知の脆弱性を含むコンポーネントのダウンロードのほぼ 96% は、脆弱性のないバージョンを選択することで回避できると述べています。
ソフトウェア開発における AI に関しては、調査対象となった DevOps および SecOps リーダーの 97% が、現在ワークフローで AI をある程度使用しており、そのほとんどが毎日 2 つ以上のツールを使用していると回答しました。昨年、エンタープライズ環境における AI および ML コンポーネントの導入は 135% 増加しました。
この調査では、企業がどの程度安全であると考えているかと、実際の安全性の間に乖離があることも判明しました。67% の企業が、自社のシステムには脆弱なライブラリのコードが含まれていないと確信していると回答していますが、今年、10% の企業が脆弱なコンポーネントによるセキュリティ侵害を経験しています。39% の企業は 1 ~ 7 日で脆弱性を発見でき、29% は 1 週間以上かかり、28% は 1 日未満で発見できます。
詳細については、レポート全文を参照してください。