图灵汇官网

2024年度全球软件供应链趋势及挑战研究报告概览

JFrog：引领软件供应链创新

作为软件供应链平台的开创者，JFrog（纳斯达克股票代码：FROG）近期发布了一份详尽的《2024全球软件供应链发展报告》，旨在深入探讨软件生态系统的最新动态、面临的风险以及最佳实践策略，助力企业提升软件供应链的安全性和效率。

报告亮点

• 深入剖析CVE评级误区：JFrog安全研究团队发现，高达74%被标记为“高”或“严重”的CVSS评级可能在实际应用场景中并不适用。这一发现揭示了传统评级体系的局限性，强调了评估漏洞利用可能性的重要性。

• DoS攻击与潜在威胁：在分析的212个高知名度CVE中，44%存在引发拒绝服务（DoS）攻击的潜在风险，而17%则具有执行远程代码（RCE）的能力。这一数据对比显示了DoS攻击相对于RCE的相对危害，为安全团队提供了重要参考。

• 影响工作效率的安全问题：调查显示，约40%的受访者需要一周或更长的时间才能审批使用新软件包或库，这直接影响了新产品和软件更新的上市速度。此外，安全团队需投入约25%的时间来处理可能被高估风险的漏洞，这反映了当前安全与开发流程之间的挑战。

• 软件开发生命周期（SDLC）中的安全考量：在决定何时执行安全扫描时，业界存在显著分歧。42%的开发者倾向于在编码阶段进行扫描，而41%的开发者则选择在引入企业级开源软件（OSS）之前执行扫描。这凸显了左移和右移安全实践的平衡挑战。

• 安全工具的多样性和整合趋势：47%的IT专业人员部署了4至9种不同的应用安全解决方案，而33%的人则使用了10种或更多工具。这一现象反映了市场对安全工具整合的需求增长，以及从单一解决方案向综合集成转变的趋势。

• AI/ML在安全领域的角色：尽管90%的企业采用AI/ML辅助安全扫描和修复工作，但只有32%的组织将其用于代码生成。这表明行业对AI生成代码可能带来的潜在安全风险持有谨慎态度。

JFrog的愿景与行动

JFrog的使命是创建一个从开发到设备都能顺畅进行软件交付的世界。其软件供应链平台提供统一的记录系统，支持企业高效、安全地构建、管理和分发软件，确保软件的可用性、追溯性和防篡改性。平台集成了强大的安全功能，能够主动发现并应对威胁和漏洞，促进快速响应和补救措施。

关于JFrog

JFrog Ltd.致力于通过“流式软件”的理念，构建一个连接开发人员与终端设备的无缝软件交付网络。其软件供应链平台作为集成解决方案，适用于各种主流云服务提供商的自托管和SaaS服务模式，服务于全球数十万用户和超过7000家客户，其中包括大多数财富100强企业。JFrog的解决方案旨在推动企业数字化转型，确保软件供应链的安全性和可靠性。