2024年全球软件供应链发展报告.pdf

《2024年全球软件供应链发展报告.pdf》由会员分享，可在线阅读，更多相关《2024年全球软件供应链发展报告.pdf（34页珍藏版）》请在咨信网上搜索。

1、 2024 JFrog Ltd.保留所有权利。https:/ 2024 年全球软件供应链发展报告 从创新到发展：防范软件生态系统中的隐藏风险 版权所有 2024 JFrog Ltd.2024 JFrog Ltd.保留所有权利。https:/ 目录 简介.2 概要.3 您的软件供应链是由什么构成的？.4 软件开发团队使用的编程语言的数量.5 按照年份和类型划分的新软件包数量.6 最常用的软件编程语言.7 关键要点.8 软件供应链中的隐藏风险.9 在特定技术或软件包类型中发现的漏洞.10 2023 年最常见的漏洞类型.11 软件供应链中漏洞的严重程度.13 最危险的恶意软件包.15 有些恶意软件包

2、比其它软件包更危险.15 隐藏在代码中的其它安全风险.16 关键要点.18 企业正在采取哪些安全措施？.19 企业组织需要在哪个阶段进行安全扫描.20 扫描的类型和所用的工具.22 修复安全漏洞耗时多久.24 关键要点.26 AI 的涌入.27 关键要点.30 编制方法.31 JFrog 平台使用数据.31 JFrog 安全研究团队的分析.32 委托调查结果.32 关于 JFrog.33 2024 JFrog Ltd.保留所有权利。https:/ 简介 JFrog 是一家专注于提升企业软件供应链安全性的公司，拥有专门的安全研究团队，能够为开发和安全团队提供强有力的技术支持。JFrog 深知企业

3、管理和保护整个软件供应链是交付安全可信软件的基础所在。随着开源生态的不断发展，以及企业在软件供应链中应用的开源工具不断增多，企业的 DevSecOps 流程是否也在与时俱进？为了解答这个重要问题，本报告结合 JFrog 平台的数百万用户的使用数据、JFrog 安全研究团队的 CVE 分析，以及来自委托第三方调查的 1,224 名安全、开发和运维人员的数据，为保障企业软件供应链安全提供了上下文分析，揭示了安全风险所在，并展示了如何在保护软件供应链安全的同时保持行业竞争力。欢迎向 data_ 提供反馈意见。2024 JFrog Ltd.保留所有权利。https:/ 概要 现如今，每家企业的软件供应

4、链集成应用的软件工具错综复杂，企业组织面临着比以往更大的安全风险。如果企业领导者选择合适的软件工具、管理与监控工作流程和实践，便可借助多场景化管理软件供应链的实践，巩固企业的安全态势并确保持续增长的竞争优势。企业的软件供应链正在快速扩展 保护软件供应链安全应该聚焦何处 安全风险藏在何处（藏身之地可能出乎您的意料）AI/ML 的安全性需要我们的关注 随着越来越多的开源组件涌现，企业的软件供应链(SSC)变得日益庞大。约半数的企业组织(53%)使用 4-9 种编程语言，31%的企业组织使用十几种编程语言。按软件包类型划分，Docker 和 npm 贡献了最多的新软件包，PyPI 的贡献也有所提高，

5、这可能是 AI/ML 应用所致。在生产发布软件中使用最多的技术是 Maven、npm、Docker、PyPI、Go、Nuget、Conan(C/C+)和 Helm。企业组织最终都以安全理念为核心，但企业采用的安全解决方案却大相径庭，每个月要花费开发团队大约四分之一的工作时间，来处理和安全相关的工作任务。89%的受访人员（安全、开发和运维）表示，他们所在的企业已经采用了 OpenSSF 或 SLSA 等安全框架。三分之一的企业组织(33%)使用 10 种或更多的软件安全工具，近一半的企业组织(47%)使用 4-9 种软件安全工具。60%的受访者表示，他们的团队通常每个月要花费 4 天或更多的时间

6、来修复应用程序漏洞。虽然安全风险超出了开源范畴，但并非所有的已知安全漏洞都值得花时间修复。2023 年，全球安全研究机构报告了超过 2.6 万个新的 CVE，漏洞数量继续呈现同比增长的趋势。在 DockerHub 社区最受欢迎的 100 个镜像中，CVSS 评分为“高危”和“严重”的 CVE 中，有 74%实际上是不可利用的。在企业的软件供应链中，人为操作失误和机密泄露是潜在风险的主要来源。94%的受访者表示，他们的企业组织正采取措施来审查开源机器学习模型的安全性和合规性。90%的受访者表示，他们的企业组织正在使用 AI/ML 应用来协助开展安全工作，基础工程师比团队领导更有机会说明他们没有这

7、么做但应该这样做。近五分之一的受访者表示，出于安全和合规考虑，他们所在的企业组织不允许使用 AI/ML 来编写代码。2024 JFrog Ltd.保留所有权利。https:/ 您的软件供应链是由什么构成的？如今企业建立的软件供应链采用多种技术、集成的软件工具来源复杂并且跨越异国服务器，很多企业组织使用十几种编程语言。每年用于开发生产发布软件的软件包技术都是“熟面孔”，与传统的编程语言相比，Rust 等新型编程语言仍然相对小众。JFrog 的数据变化不大，但 TIOBE Index 等其它数据显示，Rust 语言的流行度在 2023 年至 2024 年有所放缓，从第 18 位降至第 19 位。可

8、用于开发应用程序的开源软件包和库越来越多，但这将使企业组织面临更大的潜在安全风险，我们将在本报告中对此进行详细阐述。2024 JFrog Ltd.保留所有权利。https:/ 软件开发团队使用的编程语言的数量 所有企业组织 企业组织规模 不到 2,000 名员工 2,000-4,999 名员工 超过 5,000 名员工 1-3 种语言 4-9 种语言 10+多种语言 图 1.您的软件开发团队使用了多少种编程语言？（委托调查，2023 年）5,000 名员工 npm 最危险的 npm 软件包，部署名为 r77 的 rootkit 后门，让攻击者可以完全控制被感染的设备。来源 Nuget JFro

9、g 报告了有史以来第一个 NuGet 恶意软件包，该软件包部署名为 Impala Stealer 的 Infostealer。来源 2024 JFrog Ltd.保留所有权利。https:/ 隐藏在代码中的其它安全风险 首席信息安全官及其团队知道，您从开源社区引入的软件包需要加以重点关注。JFrog 在与首席信息安全官、安全团队和 DevSecOps 团队进行交流时，我们也提醒他们，就应用程序的整体安全性而言，开源软件包并不是唯一一个需要注意的方面。配置不当和错误人为失误的影响 2023 年，敏感数据因为服务器不安全、云配置错误、包含敏感数据的文件泄露等原因而在互联网上曝光的事件层出不穷。以下

10、总结了 2023 年影响最大的配置错误事件。2023 年 1 月 航空公司 CommuteAir 的涉恐禁飞名单因为一个不安全的服务器而泄露，这份名单包含 150 万条禁飞人员信息。来源 2023 年 2 月 美国特种作战司令部的内部电子邮件因为服务器配置错误而在网上公开曝光，泄露了近两周的未分类数据。来源 2023 年 3 月 航空公司 Safran Group 使用了开源视频通话应用“Jitsi Meet”中的一个环境文件，导致敏感的凭证信息泄露。来源 2023 年 4 月 印度跨国银行 ICICI Bank 因为一个配置错误且可公开访问的 Digital Ocean 存储库而泄露了 36

11、0 万客户的敏感数据。来源 2023 年 5 月 Capita 发现存放议会历史数据（包括福利信息）的服务器并不安全。来源 2023 年 6 月 日本汽车制造商丰田汽车公司发现，丰田互联(Toyota Connected)云配置错误导致日本 26 万名车主的信息泄露。来源 2023 年 7 月 微软披露，中国黑客组织 Storm-0558 利用一系列安全配置错误，入侵了包括美国政府机构在内的约 25 个企业组织的电子邮件帐户。来源 2023 年 8 月 旅游业巨头 Mondee 发现，由于 Oracle 云服务器配置错误，敏感的客户信息被泄露，包括详细的航班和酒店行程以及未加密的信用卡号。来源

12、 2024 JFrog Ltd.保留所有权利。https:/ 2023 年 9 月 微软的 Xbox 文件因为“联邦贸易委员会诉微软案”中的一个不安全链接而泄露。来源 2023 年 10 月 微软因 Azure Blob Storage 配置错误致使 2.4 TB 客户敏感信息泄露，其中包括 2017 年至 2022 年 8 月的文件。来源 2023 年 9 月 微软 38 TB 数据的访问权限因为一个配置错误的链接而意外泄露，使攻击者可以向微软人工智能模型注入恶意代码。来源 2023 年 11 月 IT 公司 Appscook 因为一个 DigitalOcean 存储库而泄露了未成年人的家庭

13、住址和照片等数据。该公司开发的应用程序被印度和斯里兰卡的 600 多所学校使用。来源 泄密情况 JFrog 安全研究团队扫描了最常见开源软件注册表中的数百万个制品：npm、PyPI、RubyGems、crates.io 和 DockerHub（包括 Dockerfiles 和小型 Docker 层）。到目前为止，令牌泄露最多的是 AWS、Telegram、GitHub 和 OpenAI，与 2022 年的结果相比新增了 OpenAI，这是因为 AI/ML 模型的采用率开始提高。同样值得注意的是，已泄露机密的总数同比有所减少。理想情况下，这个数字应该更接近于零，因为从安全的角度来看，这是相对容易

14、实现的目标，而且市场上有大量的机密检测工具。令牌类型 泄露的令牌数量 aws_access telegramtoken github openai sendgrid twilio google_auth npm gitlabv2 digitaloceanspaces alibaba_oss slack github_old shopify PyPI planetscale_password sendinbluev2 mailchimp flutterwave jenkins_token 图 11.2023 年最常见的公开泄露访问令牌 2024 JFrog Ltd.保留所有权利。https:/

15、关键要点 上下文分析对开发人员和安全效率至关重要 每年应对 26,000 多个新 CVE，可能会拖慢开发进度，导致开发人员和安全人员不堪重负。软件中有 CVE 并不一定意味着存在安全问题。开发和安全团队在确定需要优先解决哪些 CVE 时，CVE 评级可能不是最佳指标。在上下文分析中理解 CVE 的作用机制和运行原理，能够令开发人员专注于更有价值的事情而不是修补漏洞。保守您的秘密 每年都能在公共注册表中发现数以千计的公司令牌。在工作之余或个人开发项目期间，从事开源项目的开发人员可能会泄露公司机密。即使是简单的错误也可能导致公司令牌出现在公共仓库中（例如使用您的企业 Slack 认证密钥而不是您的

16、 CNCF Slack 认证密钥）。企业组织不断受到泄密问题的困扰，而采用适当的软件工具和监控流程可以为企业组织解决这个问题。有关更多信息，请参见我们的最新发布的缓解解决方案。前端漏洞有很多，但后端漏洞才是真正令人担心的问题 在 2023 年的所有 CVE 中，“前端漏洞”仍然是最常见的 CWE（即跨站脚本、SQL 注入、越界写入、跨站请求伪造等），但也是最容易发现和修复的漏洞。尽管人们越来越意识到与内存安全问题相关的风险，美国政府甚至就此发出警告，但缓冲区溢出漏洞仍在继续增加。这可能表明，企业组织在移植和更新遗留代码（通常是 C、Go 和 Python）以使用 Rust、Java、JavaS

17、cript 等内存安全语言时遇到了困难。2024 JFrog Ltd.保留所有权利。https:/ 企业正在采取哪些安全措施？为了更好地了解企业组织如何处理软件供应链中的风险，我们对 1,224 名开发、安全、解决方案架构师和 IT 专业人员进行了调查。好消息是，安全防范意识已经达成共识：89%的受访者表示，他们的企业组织采用了 OpenSSF 或 SLSA 等安全框架。关于企业组织如何应用安全措施以及将其用于何处的问题，调查结果千差万别，这表明没有“一刀切”的安全解决方案。问题在于，使用多种扫描工具和单点式解决方案会导致漏洞修复效率低下和数据重复，通常会使团队偏离目标，以至于把注意力集中于可

18、能并不相关的漏洞。2024 JFrog Ltd.保留所有权利。https:/ 企业组织需要在哪个阶段进行安全扫描 随着软件供应链的日益成熟，新的漏洞会逐渐被发现。在编码阶段看起来安全，并不意味着在运行时也是安全的。因此，大多数企业组织都在其软件开发生命周期(SDLC)的各个阶段进行安全扫描。您觉得在软件开发生命周期中，最好是在哪个阶段采取安全措施？最希望 引入开源软件时 编码时 构建 晋级 部署前 最不希望 运行时 表示采取安全措施的最佳阶段之一是引入开源软件时。的 IT 人员表示，编写代码是软件开发生命周期中采取安全措施的最佳阶段之一。大多数受访者将运行时列为 最不希望进行安全扫描的阶段之一

19、。2024 JFrog Ltd.保留所有权利。https:/ 您的企业组织通常在开发的哪个阶段进行安全扫描？（选择所有适用项）编码时 准备好提交拉取请求时 构建时 晋级时 发布前 运行时 都不是 占比 编码时和构建时 构建时和运行时 构建时和发布前 编码时和发布前 编码时和运行时 发布前和运行时 最受欢迎的组合 企业组织通常进行安全扫描的开发阶段是编码时(59%)、构建时(59%)和运行时(57%)。安全左移是一个较为明显的行业趋势，但数据显示，企业组织也认识到需要向软件生命周期的右侧扫描。虽然最受欢迎的组合是“编码时和构建时”，但接下来的五个组合表明，企业组织知道需要通过安全左移和右移来提高

20、安全性。您的企业组织是否在源代码或二进制文件层面进行安全扫描？超过半数的受访者(56%)表示，他们的企业组织在源代码和二进制文件层面进行安全扫描。超过四分之一的受访者(27%)表示，他们的企业组织仅在代码层面进行安全扫描（即 SAST）。12%的受访者表示，他们的企业组织仅在二进制文件层面进行安全扫描（即 SCA）。源代码和二进制文件扫描 仅代码扫描 仅二进制文件扫描 2024 JFrog Ltd.保留所有权利。https:/ 扫描的类型和所用的工具 大多数企业组织都有适当的安全解决方案，但由于自动化代码扫描的缺位以及使用多种安全扫描工具所带来的混乱，开发人员的生产力和效率显然会受到影响。在一

21、个月里，修复漏洞的工作会占用开发人员和安全人员 25%的工作时间。使用多点式解决方案的另一个主要缺点是没有端到端的覆盖软件供应链，在安全解决方案覆盖面或最佳修复操作可见性方面留下了严重的缺口。您的企业组织是否有适当的安全解决方案来检测恶意开源软件包？您的企业组织使用了多少种单点式应用程序安全解决方案？的专业人员表示，他们的企业组织有适当的安全解决方案来检测恶意开源软件包。近半数的受访者(47%)表示，他们的企业组织正在使用 4 到 9 种单点式应用程序安全解决方案。三分之一的受访者(33%)表示，他们的企业组织正在使用 10 种或更多的单点式应用程序安全解决方案。使用的单点式应用程序安全解决方

22、案数量 2024 JFrog Ltd.保留所有权利。https:/ 您的企业组织正在使用什么类型的单点式应用程序安全解决方案？占比(n=1224)静态应用程序安全测试(SAST)软件成分分析(SCA)动态应用程序安全测试(DAST)API 安全 交互式应用程序安全测试(IAST)容器安全 运行时安全 IAC 安全 其他 进一步分析显示，单点式应用程序安全解决方案的受欢迎程度因受访者的工作职责而异：最常使用的应用程序安全解决方案是静态应用程序安全测试(61%)、动态应用程序安全测试(58%)、软件成分分析(56%)和 API 安全(56%)。安全人员 开发人员 IT/IS 多面手 静态应用程序安

23、全测试(SAST)软件成分分析(SCA)动态应用程序安全测试(DAST)API 安全 交互式应用程序安全测试(IAST)容器安全 运行时安全 IAC 安全 其他 在安全和网络安全人员(n=323)中，静态应用程序安全测试(63%)和动态应用程序安全测试(62%)是最常用的两种应用程序安全解决方案。在开发人员(n=327)中，API 安全(61%)是最常用的应用程序安全解决方案。在 IT/IS 专家(n=574)中，静态应用程序安全测试(66%)、软件成分分析(62%)和动态应用程序安全测试(61%)是最常用的三种应用程序安全解决方案。2024 JFrog Ltd.保留所有权利。https:/

24、手动代码审查和自动代码扫描在软件开发流程中的占比分别是多少？100%手动/0%自动 75%手动/25%自动 50%手动/50%自动 25%手动/75%自动 0%手动/100%自动 75%到 100%手动 75%到 100%自动 近半数的受访者(48%)表示，在他们的软件开发流程中，大约 75%到 100%是手动检查代码，而不是自动扫描代码。不到 1%的受访者表示，他们在软件开发流程中，已完全实现自动化代码扫描。只有 19%的受访者表示，他们的代码审查 75%是自动，另外 25%是手动。修复安全漏洞耗时多久 到 2026 年，全球软件供应链安全风险预计将造成 806 亿美元的损失。企业组织花费时

25、间和资金来提前采取安全防范措施显然是合理的。虽然将新功能快速推向市场是有效的竞争优势，但企业组织必须权衡采取安全防范措施对企业生产力和新功能发布的作用。在一个月内，您的开发人员或安全团队通常需要花费多少时间来修复应用程序漏洞？60%的受访者表示，在一个月内，他们的开发人员或安全团队通常花费 4 天或更多的时间来修复应用程序漏洞。这意味着四分之一的工作时间被用于修复漏洞，而不是从事能够提高商业价值的任务。天 2024 JFrog Ltd.保留所有权利。https:/ 由谁来管理最新版的软件包、库和框架的获取过程，是安全人员还是开发人员？（选择所有适用项）安全团队 开发团队 DevOps 团队 进

26、一步的分析显示，在管理最新版的软件包、库和框架的获取过程方面，IT、IS 和其他技术部门中没有哪一个团队处于主导地位。平均而言，受访者确定了 2 个团队(M=1.95)负责管理调取过程。认为安全团队、开发团队和 DevOps 团队负责管理此过程的受访者比例相差不大。通常需要多长时间才能获得批准使用最新的软件包/库？超过半数的受访者(58%)表示，获得批准使用最新的软件包/库通常需要 6 天或更短时间。另一方面，一些受访者给出了更长的批准等待时间。五分之二(40%)的受访者表示，通常需要一周或更长时间才能获得批准使用最新的软件包/库。不到一周 一周或更久 2024 JFrog Ltd.保留所有权

27、利。https:/ 关键要点 应用程序的安全状态并非一成不变 超过四分之一的受访者(27%)表示，他们的企业组织仅在代码层面进行安全扫描。然而，如果认为在编写代码到将其投入到生产环境之间，代码情况不会发生任何变化，这将带来灾难性的后果。就“采取安全措施的最佳阶段”而言，排名最后的是在跨 SDLC 阶段（从质量保证到试运行）晋级软件时进行安全扫描。随着软件在 SDLC 的各个阶段日趋成熟，如果不能自动地逐步扫描软件，就难以尽早发现新的漏洞和问题。自动化必不可少，但不应该完全取代人工 大多数受访者都是结合使用手动代码审查和自动扫描代码。随着新技术的出现，这种平衡可能会出现波动，但最好是在两者之间实

28、现平衡。自动扫描代码不是手动代码审查的替代品，但如果没有它，您几乎肯定会错过某些漏洞。此外，纯手动代码审查是难以扩大监控规模的。安全不应该以牺牲生产力为代价 您需要保护您的 SDLC，但这必须以一种无缝的方式进行。在安全任务上花费不必要的时间，筛选来自多种扫描器的结果，等待数天或数周时间才能获准使用新的软件包或库，这些都是在浪费重要的开发时间。想要在不影响生产力的情况下保护软件供应链，关键点是简化使用新软件包和修复漏洞的审批流程，实现监控管理策略自动化、将安全扫描置于上下文分析中，以及将安全洞察直接引入到开发环境。这进一步促进了整合软件工具、远离单点式解决方案的市场大趋势。2024 JFrog

29、 Ltd.保留所有权利。https:/ AI 的涌入 毫无疑问，人工智能(AI)和机器学习(ML)将对企业引入新软件的内容、代码的编写方式以及软件应用程序的保护方式产生深远影响。根据 Gartner 的预测，到 2027 年，90%的新应用程序将包含 ML 机器学习模型或服务。因此，即便您的企业组织现在还没有在应用程序中嵌入 ML 模型，或者使用 ChatGPT 和 Copilot 这样的 AI 工具，以后也会这么做。在本章节中，我们将讨论企业组织如何将 AI 应用融入到产品和开发工作中。2024 JFrog Ltd.保留所有权利。https:/ 您的企业组织是否采取了安全措施/解决方案来检查

30、开源 ML 模型的安全性和合规性？的受访者表示，他们的企业组织正在采取安全措施/解决方案来检查开源 ML 机器学习模型的安全性和合规性。如今，能够在这方面提供帮助的软件工具非常少，但是企业组织可以采取一些手动防范措施，例如根据发行商、评级等指标来评估 ML 模型。您的企业组织是否使用 AI/ML 应用来协助进行安全扫描或漏洞修复？是的，同时用于扫描和修复 是的，用于扫描 是的，用于修复 没有 在某种程度上使用 用于扫描和修复 十分之九的受访者(90%)表示，他们的企业组织在某种程度上使用 AI/ML 应用来协助进行安全扫描或漏洞修复。略超半数的受访者(51%)表示，他们的企业组织使用机器学习来

31、协助进行扫描和修复。然而，如果根据受访者的角色类型对这些数据进行细分，情况就会大为不同。2024 JFrog Ltd.保留所有权利。https:/ 角色 占比 全部(n=1224)C 级高管(n=272)副总裁(n=59)总监(n=255)高级管理人员(n=228)管理人员(n=295)个人贡献者(n=115)是（净值）否（净值）是的，用于扫描 是的，用于修复 是的，同时用于扫描和修复 没有 没有，但我觉得以后会 与 C 级高管(4%；n=272)相比，更多的个人贡献者(22%；n=115)表示，他们的企业组织没有使用 AI/ML 应用来协助进行安全扫描或漏洞修复，但认为他们的企业组织应该这样

32、做。这表明，C 级领导者认为正在使用的工具与日常工作中实际使用的工具存在明显偏差。您的企业组织是否允许开发人员使用 AI/ML 应用来协助编写代码？允许，仅限研究目的 允许，用于编写代码 不允许，出于安全和合规考虑 半数的受访者(50%)表示，他们的企业组织允许开发人员使用 AI/ML 应用来协助编写代码，仅限研究目的。近三分之一的受访者(32%)表示，他们的企业组织允许使用 AI/ML 应用来编写代码。大约六分之一的受访者(17%)表示，出于安全和合规考虑，他们的企业组织不允许开发人员使用 AI/ML 应用来编写代码。2024 JFrog Ltd.保留所有权利。https:/ 关键要点 当涉

33、及到 AI 时，企业组织应更注重安全性而不是代码生成 如今的企业组织更多地将 AI 工具用于安全工作，而不是用于生成全新代码。也许他们觉得，将 AI 工具用于安全工作能够提升效率，即使不是 100%准确，但也是值得的，而 AI 应用引入新漏洞、恶意软件包或非许可代码/包的风险太大了。主动作为是预防 AI 相关安全风险的关键所在 为了帮助保护您的软件供应链，JFrog 安全研究团队建议从 SDLC 的初始阶段就将安全融入到您的流程中，方法包括手动审查 AI 工具生成的代码，以及使用自动化安全解决方案，比如 SAST 就能够可靠地发现漏洞。想要确保软件的安全性并负责任地使用 AI 技术，这种主动的

34、监测方法非常重要。工具箱里再添一个工具 正如本报告的上一章节所述，企业组织使用了许多安全工具。考虑到 AI/ML 安全工具可能只占到所用安全工具的十分之一，不妨在工具箱中再添加一个 AI/ML 安全工具。企业组织需要评估“AI 安全”注入软件供应链的实际影响，而不是听信天花乱坠的宣传，丧失警惕性。立即行动，确保 ML 模型开发的安全性 企业对 AI/ML 嵌入式软件的需求不断增长，您的开发人员可能已经把 ML 模型作为新版应用程序的一部分。ML 模型的开发和使用现在可能感觉有点像“狂野的西部”，需要多加小心。企业组织需要迅速行动，采取 ML 模型使用的安全最佳实践，例如扫描开源 ML 模型，将

35、 ML 模型开发安全地引入 SDLC。2024 JFrog Ltd.保留所有权利。https:/ 编制方法 本报告综合分析了 JFrog 平台使用数据、JFrog 安全研究团队的 CVE 分析结果以及第三方委托调查数据。以下是对每个来源的详细介绍：JFrog 平台使用数据 本报告中强调的技术使用趋势来自 JFrog Platform for Cloud 实例的匿名使用数据年终汇总，涵盖数千个客户、数十万个仓库和 PB 级数据。软件包的流行度根据操作次数（上传/下载）、制品总数、仓库总数以及特定包类型的制品数量来衡量。操作次数是指开发人员调用和生成不同包类型的频率，作为软件开发中实际使用情况的指

36、标。少数几家企业可能会对排名有所倾向。然而，我们还考虑了制品操作，因此我们可以准确地知道，开发流程中使用的主要是哪种包类型。2024 JFrog Ltd.保留所有权利。https:/ JFrog 安全研究团队的分析 作为指定的 CVE 编号授权机构，JFrog 安全研究团队定期监测和调查新漏洞，了解其真实的严重程度，并发布此类信息，造福行业和所有 JFrog 客户。本报告包含从公共注册表中提取的数据，从美国国家漏洞数据库中提取的 CVE 信息，以及 JFrog 安全研究团队对这些数据源进行的专有分析。委托调查结果 JFrog 委托 Atomik Research 对美国、英国、印度、中国、德国、法国和以色列在选定行业工作的 1,224 名开发、安全和 IT 人员进行国际在线调查。受访者包括在信息技术、信息系统或技术部门中从事特定工作的全职员工。所有的受访者都确认，他们所在的组织拥有不少于 1000 名员工以及至少 50 人的软件开发团队。所有受访者都可以选择英语、法语、德语、希伯来语、印度语和简体中文版本的调查问卷。整个样本的误差幅度为+/-3 个百分点，置信水平为 95%。实地调查于 2023 年 8 月 31 日至 9 月 18 日进行。Atomik Research 是一家独立的市场调研机构。