企業(yè)軟件開發(fā)人員在應(yīng)用程序中繼續(xù)使用有缺陷的代碼,灰鴿子下載,遠程控制軟件

admin

企業(yè)軟件開發(fā)人員在應(yīng)用程序中繼續(xù)使用有缺陷的代碼,灰鴿子下載,遠程控制軟件
使用第三方代碼在企業(yè)軟件項目中的應(yīng)用越來越快，但所使用的代碼往往有已知的缺陷
開發(fā)企業(yè)應(yīng)用程序的公司每年下載超過200000個開源組件，平均每16個這些組件中有一個有安全漏洞。
這是表示軟件供應(yīng)鏈的糟糕的狀態(tài)，一個問題，只是越來越糟，增加對第三方代碼的依賴，結(jié)合壞的軟件庫存的做法。
根據(jù)軟件開發(fā)生命周期的企業(yè)Sonatype，第三方組件占百分之80到百分之90的代碼在一個典型的企業(yè)應(yīng)用程序今天發(fā)現(xiàn)。
從去年最大的公共庫的開源java組件的下載數(shù)量達到了310億，超過2014，增加了百分之82，該公司發(fā)現(xiàn)。
Sonatype運行托管基礎(chǔ)設(shè)施的中央存儲庫，Apache Maven默認庫，SBT和其他java軟件構(gòu)建工具。該公司并沒有警察進出庫中的東西，該任務(wù)屬于開源開發(fā)者社區(qū)，他們?yōu)樗�貢獻了組件。
公司的平均下載超過229000分左右，但只有約5000的人都是獨一無二的，Sonatype的軟件供應(yīng)鏈星期一公布的報告說。在下載的組件中，1在16中有安全缺陷。
這也反映在生產(chǎn)上。25000個企業(yè)應(yīng)用程序的分析顯示，百分之6.8的組件中使用的至少有一個已知的漏洞。
超過2歲的組件占風險的百分之80，但不幸的是，它們也代表了應(yīng)用程序中使用的所有組件的一半以上。
Sonatype估計要花費企業(yè)2000應(yīng)用約740萬美元修復(fù)只有百分之10的缺陷和漏洞消費組件介紹。
供應(yīng)鏈管理的做法，是常見的其他行業(yè)，如制造業(yè)，將有助于軟件開發(fā)人員大大降低他們的維護成本。這些措施包括做一個嚴格的選擇的組件供應(yīng)商，選擇只有最高質(zhì)量的組件和跟蹤時，這些組件的使用。