高德娱乐

高德娱乐:为什么开源软件供应链管理比你想象的更糟糕

高德平台怎么样,高德代理有什么产品,高德娱乐平台好吗

Sonatype发布的第七届年度软件供应链状况报告发现,开发人员认为软件管理实践的状况比实际情况显示的要好得多。
 
分析发现,除了补救和库存之外,大多数受访者在软件供应链管理过程的大部分部分使用了一种特别的方法。受访者似乎正在纠正有风险的组件,并了解供应链中的风险在哪里,即使他们对构建、发布和风险管理过程有非正式的方法。
 
报告显示,实际发生的情况与人们认为正在发生的情况之间存在明显的脱节:“受访者说服自己相信自己做得很好,至少导致了一种错误的安全感,最坏的情况是,工程过程效率极低。”
 
该报告还发现,针对上游公共仓库的供应链攻击同比增长650%。从2015年2月到2019年6月,共有216起软件供应链攻击事件。根据该报告,从2019年7月到2020年5月,这一数字上升到929起。
 
Sonatype执行副总裁Matt Howard在一份新闻稿中表示,该报告强化了这样一个事实,即开源既是数字创新的关键燃料,也是软件供应链攻击的成熟目标。近年来,高德平台连接的设备变得更加先进,特别是在工业领域。普及程度如此之高,以致形成了一个高德平台物联网领域,称为工业物联网(IIoT),通常指充满连接传感器的机器和工厂。
 
他说:“虽然开发人员对开源的需求继续呈指数级增长,但我们的研究首次表明,总体供应量实际上只有很少一部分被利用了。”“此外,我们现在知道,受欢迎的项目包含不成比例的漏洞。”
 
此外,该分析还显示,29%的流行开源项目至少包含一个已知的安全漏洞,相比之下,在不那么流行的OSS项目中,这一比例仅为6.5%。而且,尽管有数百万的开源项目可用,但只有6%的项目经常使用。高德代理这些预测旨在帮助CIO及其组织应对不断发展的物联网生态系统,其中高德代理的互联产品可帮助企业运营更顺利。
 
去年最常见的软件供应链攻击类型是:
 
依赖关系/名称空间混淆:不良参与者将使用与合法专有包完全相同的名称的恶意包发布到公共存储库,该存储库没有规范名称空间标识。
 
Typosquatting:这种间接攻击利用拼写错误和拼写错误,让开发人员安装被误认为是真实组件的恶意组件。预计高德娱乐将在2020年蓬勃发展,从消费类设备扩展到企业设备采用。会议室管理解决方案是最受欢迎的企业解决方案之一,高德娱乐使团队可以与远程用户进行交互。
 
恶意源代码注入:这类攻击的频率在过去一年中有所下降,涉及将恶意源代码直接注入开放源码项目的存储库。
 
如何降低OSS软件供应链风险
 
为了最小化第三方开源库中与漏洞相关的风险,Sonatype分析师建议软件开发团队采用已定义的标准来选择开源项目,并寻找平均更新时间较低的项目。
 
这个度量提供了对开源项目依赖项管理实践的可见性,并且时间越短越好。根据该报告,“在下游依赖链中对依赖升级持续快速反应的项目,其MTTU将较低。反应持续缓慢或反应时间差异较大的项目将有更高的MTTU。”以往的Sonatype研究也表明MTTU与平均矫正时间相关。
 
Sonatype的《2021年软件供应链状况报告》结合了公开和专有数据,确定了现代软件开发的趋势。今年的报告分析了与Java (Maven Central)、JavaScript (npmjs)、Python (PyPI)和。net (nuget)生态系统相关的运营供应、需求和安全趋势。研究人员还研究了从过去12个月开发人员进行的10万个生产应用程序和400万个组件迁移中收集的软件工程实践。
 
衡量供应链实践和工程成果
 
除了评估OSS安全的状态外,Sonatype报告还查看了供应链管理的现实与最佳实践的比较。研究人员还调查了702名软件工程师,以衡量开源软件的软件供应链管理状况。调查的目的是制定一套基准。
浏览过本文章的用户还浏览过
  • 高德娱乐:Box为其中继工作流引擎添加了新的功能

    Box在周二宣布了对其工作流引擎Box Relay的改进。据一份新闻稿称,云内容管理提供商增加了新的功能,包括模板库、文件请求集成和多文件支持。我们正在与他们合作,将高德注册方案专门集成到5G商业策略中,并且他们依靠Cradlepoint帮助他们开拓高德注册商市 [详细]

  • 高德注册:如何使用iOS 14中的群组消息功能

    iOS 14和iPadOS 14给这款短信应用带来了一些实质性的变化,其基础是苹果在iOS 13中完成的重新设计,允许为iMessage对话设置配置文件。这次重新设计为群组对话带来了一些很棒的新功能,在2020年COVID-19大流行期间,由于社交距离的疏远,群组对话可能使用得更 [详细]

  • 高德娱乐:人工智能来到手术室

    我们正在与他们合作,将高德注册方案专门集成到5G商业策略中,并且他们依靠Cradlepoint帮助他们开拓高德注册商市 [详细]

  • 高德娱乐:一项50亿美元的提案,旨在打击网上儿童性虐待

    经过多年的疏忽,华盛顿的立法者们已经将互联网上的儿童性侵图片和性剥削列为一个紧迫的问题。近年来,高德平台连接的设备变得更加先进,特别是在工业领域。普及程度如此之高,以致形成了一个高德平台物联网领域,称为工业物联网(IIoT),通常指充满连接传 [详细]