企業(yè)軟件開發(fā)人員在應(yīng)用程序中繼續(xù)使用有缺陷的代碼,灰鴿子下載,遠(yuǎn)程控制軟件

admin

企業(yè)軟件開發(fā)人員在應(yīng)用程序中繼續(xù)使用有缺陷的代碼,灰鴿子下載,遠(yuǎn)程控制軟件
使用第三方代碼在企業(yè)軟件項(xiàng)目中的應(yīng)用越來(lái)越快，但所使用的代碼往往有已知的缺陷
開發(fā)企業(yè)應(yīng)用程序的公司每年下載超過(guò)200000個(gè)開源組件，平均每16個(gè)這些組件中有一個(gè)有安全漏洞。
這是表示軟件供應(yīng)鏈的糟糕的狀態(tài)，一個(gè)問(wèn)題，只是越來(lái)越糟，增加對(duì)第三方代碼的依賴，結(jié)合壞的軟件庫(kù)存的做法。
根據(jù)軟件開發(fā)生命周期的企業(yè)Sonatype，第三方組件占百分之80到百分之90的代碼在一個(gè)典型的企業(yè)應(yīng)用程序今天發(fā)現(xiàn)。
從去年最大的公共庫(kù)的開源java組件的下載數(shù)量達(dá)到了310億，超過(guò)2014，增加了百分之82，該公司發(fā)現(xiàn)。
Sonatype運(yùn)行托管基礎(chǔ)設(shè)施的中央存儲(chǔ)庫(kù)，Apache Maven默認(rèn)庫(kù)，SBT和其他java軟件構(gòu)建工具。該公司并沒(méi)有警察進(jìn)出庫(kù)中的東西，該任務(wù)屬于開源開發(fā)者社區(qū)，他們?yōu)樗�貢獻(xiàn)了組件。
公司的平均下載超過(guò)229000分左右，但只有約5000的人都是獨(dú)一無(wú)二的，Sonatype的軟件供應(yīng)鏈星期一公布的報(bào)告說(shuō)。在下載的組件中，1在16中有安全缺陷。
這也反映在生產(chǎn)上。25000個(gè)企業(yè)應(yīng)用程序的分析顯示，百分之6.8的組件中使用的至少有一個(gè)已知的漏洞。
超過(guò)2歲的組件占風(fēng)險(xiǎn)的百分之80，但不幸的是，它們也代表了應(yīng)用程序中使用的所有組件的一半以上。
Sonatype估計(jì)要花費(fèi)企業(yè)2000應(yīng)用約740萬(wàn)美元修復(fù)只有百分之10的缺陷和漏洞消費(fèi)組件介紹。
供應(yīng)鏈管理的做法，是常見的其他行業(yè)，如制造業(yè)，將有助于軟件開發(fā)人員大大降低他們的維護(hù)成本。這些措施包括做一個(gè)嚴(yán)格的選擇的組件供應(yīng)商，選擇只有最高質(zhì)量的組件和跟蹤時(shí)，這些組件的使用。