《2024年全球软件供应链发展报告》由JFrog发布，深入探讨了软件供应链的安全性，分析了从创新到发展的各个阶段中潜藏的风险，并提出了相应的安全措施建议。报告基于JFrog平台的数据分析、安全研究团队的CVE分析，以及第三方调查结果，揭示了企业在软件供应链管理中面临的挑战和应对策略。

报告指出，随着开源生态的快速发展，企业在软件供应链中使用的开源工具日益增多，带来了安全风险的增加。企业组织的安全解决方案存在差异，安全漏洞的修复每月占用了开发团队约四分之一的工作时间。报告强调，并非所有已知安全漏洞都需要立即修复，2023年报告的CVE超过2.6万个，但许多高危和严重的CVE实际上不可利用。

报告还发现，企业在使用多种编程语言，其中53%的企业使用4-9种语言，31%的企业使用10种以上。Docker和npm是新增软件包的主要来源，而PyPI的增长可能与AI/ML应用有关。在软件供应链中，人为操作失误和机密泄露是主要风险来源，94%的受访者表示他们的组织正在审查开源机器学习模型的安全性。

企业组织采取了多种安全措施，包括在软件开发生命周期的各个阶段进行安全扫描，使用多种安全工具，以及花费大量时间修复安全漏洞。然而，报告也指出，使用多种单点式解决方案可能导致效率低下和数据重复，从而影响开发团队的生产力。

AI和ML的应用在安全领域受到重视，90%的受访组织使用AI/ML辅助安全工作，尽管在代码编写方面存在安全和合规的顾虑。报告建议，企业应从SDLC的早期阶段就整合安全性，主动监测AI引入的安全风险，并确保ML模型开发的安全性。

最后，报告提出了JFrog平台的能力，该平台提供端到端的软件供应链管理，支持超过30种不同类型的软件包，集成了DevOps、安全和MLOps，以提升开发效率和软件安全性。报告总结，企业需要采取综合措施，确保软件供应链的安全性，同时保持竞争力和市场地位。

来源：捷蛙