2024年全球软件供应链发展报告-JFrog.pdf

2024年全球软件

供应链发展报告

从创新到发展：

防范软件生态系统中的隐藏风险

0

目录

简介2

概要3

您的软件供应链是由什么构成的？4

软件开发团队使用的编程语言的数量5

按照年份和类型划分的新软件包数量6

最常用的软件编程语言7

关键要点8

软件供应链中的隐藏风险9

在特定技术或软件包类型中发现的漏洞10

2023年最常见的漏洞类型11

软件供应链中漏洞的严重程度13

最危险的恶意软件包15

有些恶意软件包比其它软件包更危险15

隐藏在代码中的其它安全风险16

关键要点18

企业正在采取哪些安全措施？19

企业组织需要在哪个阶段进行安全扫描20

扫描的类型和所用的工具22

修复安全漏洞耗时多久24

关键要点26

AI的涌入27

关键要点30

编制方法31

JFrog平台使用数据31

JFrog安全研究团队的分析32

委托调查结果32

关于JFrog33

1

简介

JFrog是一家专注于提升企业软件供应链安全性的公司，拥有专门的安全研

究团队，能够为开发和安全团队提供强有力的技术支持。JFrog深知企业管

理和保护整个软件供应链是交付安全可信软件的基础所在。随着开源生态

的不断发展，以及企业在软件供应链中应用的开源工具不断增多，企业的

DevSecOps流程是否也在与时俱进？

为了解答这个重要问题，本报告结合JFrog平台的数百万用户的使用数据、

JFrog安全研究团队的CVE分析，以及来自委托第三方调查的1,224名

安全、开发和运维人员的数据，为保障企业软件供应链安全提供了上下文

分析，揭示了安全风险所在，并展示了如何在保护软件供应链安全的同时

保持行业竞争力。欢迎向data_report@提供反馈意见。

2

概要

现如今，每家企业的软件供应链集成应用的软件工具错综复杂，企业组织面临着比以往更大的安全风险。如果企业领导者选择合

适的软件工具、管理与监控工作流程和实践，便可借助多场景化管理软件供应链的实践，巩固企业的安全态势并确保持续增长的

竞争优势。

企业的软件供应链正在快速扩展保护软件供应链安全应该聚焦何处

随着越来越多的开源组件涌现，企业的软件供应链(SSC)变企业组织最终都以安全理念为核心，但企业采用的安全解决

得日益庞大。方案却大相径庭，每个月要花费开发团队大约四分之一的工

作时间，来处理和安全相关的工作任务。

约半数的企业组织(53%)使用4-9种编程语言，31%的

企业组织使用十几种编程语言。89%的受访人员（安全、开发和运维）表示，他们所在