Maioria das falhas de código aberto conhecidas podem ser facilmente evitadas

Nunca o código aberto foi consumido como nos momentos atuais. Sendo assim, os ataques direcionados à cadeia de suprimentos de software também aumentaram, tanto em frequência quanto em complexidade. Um novo relatório revela um aumento anual de 633% nos ataques maliciosos direcionados ao código aberto em repositórios públicos. Isso equivale a um aumento médio anual de 742% nos ataques à cadeia de suprimentos de software desde 2019. No entanto, por incrível que pareça, a grande maioria das falhas de código aberto conhecidas podem ser facilmente evitadas.

O último State of the Software Supply Chain Report da Sonatype, divulgado no DevOps Enterprise Summit, também descobriu que 96% dos downloads Java de código aberto com vulnerabilidades conhecidas poderiam ter sido evitados porque uma versão melhor estava disponível, mas foi ignorada.

“Esta descoberta surpreendente destaca o quão crítico é para as equipes de engenharia continuar a educação sobre o risco de código aberto e adotar a automação inteligente para apoiar seus esforços. chances de priorizar a boa qualidade de software”, diz Brian Fox, cofundador e CTO da Sonatype. “A boa notícia é que o relatório deste ano também mostra que o gerenciamento de dependências ‘ótimo’ é possível. impacto em sua capacidade de remediar e responder ao próximo evento.”

Maioria das falhas de código aberto conhecidas podem ser facilmente evitadas

O relatório também mostra uma lacuna entre a segurança percebida e a realidade no desenvolvimento de software. 68% dos entrevistados estavam confiantes de que seus aplicativos não estavam usando bibliotecas vulneráveis conhecidas, mas em uma amostra aleatória de aplicativos corporativos, 68% continham vulnerabilidades conhecidas.

A pesquisa revela um viés contínuo, com gerentes relatando estágios mais altos de maturidade em comparação com o relatado por outras funções. Isso talvez não seja surpreendente, pois o aplicativo Java médio contém 148 dependências (20 a mais do que no ano passado) e o projeto Java médio é atualizado 10 vezes por ano – o que significa que os desenvolvedores são encarregados de rastrear a inteligência em quase 1.500 alterações de dependência por ano, por aplicativo que eles trabalho em.

“O relatório State of the Software Supply Chain deste ano demonstra como o código aberto e o desenvolvimento de software estão em constante evolução e a necessidade imperativa de evoluir com isso”, acrescenta Fox. “Nossa pesquisa mostra que o número de dependências por projeto de código aberto está crescendo e que essas dependências são um fator crítico de risco. fonte de conhecimento do ecossistema junto com suas responsabilidades de trabalho regulares. Isso além de pressões externas como velocidade. Não é surpresa que a satisfação no trabalho esteja fortemente ligada à maturidade das práticas da cadeia de suprimentos de software.

O relatório completo está disponível no site da Sonatype.