Da 10 anni Sonatype ci regala una fotografia di come sviluppiamo
In occasione del 10° rapporto annuale sullo Stato della catena di fornitura del software, la trasformazione del software open source è stata a dir poco profonda. Il "consumo" di software open source è esploso, e le stime indicano che quest'anno i download hanno superato i 6,6 trilioni. Questa dipendenza dai componenti open source, che ora costituiscono il 90% delle moderne applicazioni software, ha dato vita a un'innovazione senza precedenti e a sfide complesse per le catene di fornitura del software. Per questo motivo, il settore è diventato sempre più regolamentato, passando da un approccio non vincolante all'inizio degli anni 2010 a strutture proattive che affrontano i crescenti rischi di cybersecurity nella catena di fornitura del software globale.
Il rapporto di quest'anno, supportato da dati provenienti da oltre 7 milioni di progetti open source, riprende molte delle tendenze inquietanti in materia di sicurezza e gestione del rischio che abbiamo seguito negli ultimi 10 rapporti. In particolare, l'aumento del malware open source e degli attacchi alla catena di fornitura del software è diventato una minaccia critica. Esempi come il malware LUMMA trovato in PyPi e la backdoor del pacchetto XZ Utilis evidenziano la crescente sofisticazione di questi attacchi, che spesso aggirano le misure di sicurezza tradizionali, lasciando le organizzazioni vulnerabili.
In effetti, il numero di pacchetti dannosi è cresciuto del 156% rispetto all'anno precedente, rappresentando un rischio significativo per le aziende che non riescono a gestire efficacemente le dipendenze OSS.