企业软件开发人员在应用程序中继续使用有缺陷的代码,灰鸽子下载,远程控制软件
企业软件开发人员在应用程序中继续使用有缺陷的代码,灰鸽子下载,远程控制软件使用第三方代码在企业软件项目中的应用越来越快,但所使用的代码往往有已知的缺陷
开发企业应用程序的公司每年下载超过200000个开源组件,平均每16个这些组件中有一个有安全漏洞。
这是表示软件供应链的糟糕的状态,一个问题,只是越来越糟,增加对第三方代码的依赖,结合坏的软件库存的做法。
根据软件开发生命周期的企业Sonatype,第三方组件占百分之80到百分之90的代码在一个典型的企业应用程序今天发现。
从去年最大的公共库的开源java组件的下载数量达到了310亿,超过2014,增加了百分之82,该公司发现。
Sonatype运行托管基础设施的中央存储库,Apache Maven默认库,SBT和其他java软件构建工具。该公司并没有警察进出库中的东西,该任务属于开源开发者社区,他们为它贡献了组件。
公司的平均下载超过229000分左右,但只有约5000的人都是独一无二的,Sonatype的软件供应链星期一公布的报告说。在下载的组件中,1在16中有安全缺陷。
这也反映在生产上。25000个企业应用程序的分析显示,百分之6.8的组件中使用的至少有一个已知的漏洞。
超过2岁的组件占风险的百分之80,但不幸的是,它们也代表了应用程序中使用的所有组件的一半以上。
Sonatype估计要花费企业2000应用约740万美元修复只有百分之10的缺陷和漏洞消费组件介绍。
供应链管理的做法,是常见的其他行业,如制造业,将有助于软件开发人员大大降低他们的维护成本。这些措施包括做一个严格的选择的组件供应商,选择只有最高质量的组件和跟踪时,这些组件的使用。
页:
[1]