Sonatype的《2021年软件供应链状况报告》融合了一系列广泛的公共和专有数据，以揭示现代软件开发的重要趋势。今年的报告分析了与Java (Maven Central)、JavaScript (npmjs)、Python (PyPI)和. net (nuget)生态系统相关的运营供应、需求和安全趋势。此外，研究人员研究了过去12个月开发人员从10万个生产应用程序和4,000,000个组件迁移中收集的软件工程实践。主要发现包括:

开源的供应、需求和安全动态:

• 供应量增加了20%。前四大开源生态系统现在总共包含37,451,682个不同版本的组件。
• 需求增长73%．到2021年，世界各地的开发人员将从四大生态系统下载超过2.2万亿个开源软件包。
• 攻击增加了650%。2021年，针对上游开源生态系统弱点的软件供应链攻击呈指数级增长。
• 生产应用只利用了6%的可用项目。尽管开放源码项目的可用供应巨大，但使用集中在少数受欢迎的项目上。
• 受欢迎的项目更加脆弱。29%的流行项目版本包含至少一个已知的安全漏洞。相反，只有6.5%的非流行项目版本这样做，这表明安全研究人员(黑帽和白帽)专注于使用最多的项目。

确定最佳开源项目的经验指标:

• 具有更快的平均更新时间(MTTU)的项目更安全。研究发现，他们存在漏洞的可能性要低1.8倍。
• 受欢迎程度并不能很好地预测安全感。流行的开源项目包含漏洞的可能性增加了2.8倍。

依赖性管理实践在开发团队之间有很大差异：

• 软件开发人员在更新第三方依赖关系时，69%的情况下会做出次优选择．项目的新版本通常更好，但并不总是最好的。
• 商业工程团队只管理他们使用的25%的组件这使得他们的大多数开源依赖关系变得陈旧，容易受到安全风险增加的影响。
• 自动化每年可以为企业节省19.2万美元。配备智能自动化后，拥有20个应用程序开发团队的中型企业每年将总共节省160个开发人员日。

软件供应链管理实践:感知与现实

• 主观调查反馈与客观数据之间存在脱节。人们相信他们在修复有缺陷的部件方面做得很好，并表明他们了解风险所在。客观地说，研究表明开发团队缺乏结构化的指导，并且经常在软件供应链管理方面做出次优决策。

Sonatype执行副总裁Matt Howard表示:“今年的软件供应链状况报告再次证明，开源既是数字创新的关键燃料，也是软件供应链攻击的成熟目标。”“虽然开发人员对开源的需求继续呈指数级增长，但我们的研究首次表明，实际使用的总供应是多么少。此外，我们现在知道，受欢迎的项目包含不成比例的更多漏洞。这一严峻的现实突出了工程领导者接受智能自动化的关键责任和机遇，这样他们就可以标准化最好的开源供应商，同时帮助开发人员保持第三方库的新鲜和最新的最佳版本。”

关于Sonatype

Sonatype是开发人员友好的全谱软件供应链自动化的领导者，为组织提供对其云原生开发生命周期的全面控制，包括第三方开源代码、第一方源代码、基础设施即代码和容器代码。该公司支持70%的财富100强企业，其商业和开源工具受到全球1500万开发人员的信任。Sonatype的愿景是改变世界的创新方式，Sonatype帮助各种规模的组织构建更高质量的软件，更符合业务需求，更可维护，更安全。

Sonatype已被Fast Company公认为最先进的产品之一最适合创新者的工作场所在世界范围内，连续两年入选德勤科技500强。