大量 Java 開(kāi)源項(xiàng)目停更...

點(diǎn)擊關(guān)注公眾號(hào)，Java 干貨及時(shí)推送↓

Sonatype 發(fā)布了最新的一份《軟件供應(yīng)鏈狀況》報(bào)告，深入探討了如何在充滿選擇的世界中定義更好的軟件，并探討人工智能 (AI) 對(duì)軟件開(kāi)發(fā)的深遠(yuǎn)影響；還研究了開(kāi)源供應(yīng)、需求和安全之間錯(cuò)綜復(fù)雜的相互作用。

報(bào)告跟蹤了 Java (Maven)、JavaScript (npm)、Python (PyPI)、.NET (NuGet Gallery) 四大開(kāi)源生態(tài)系統(tǒng)的開(kāi)源應(yīng)用增長(zhǎng)情況。2022 年至 2023 年間，可用開(kāi)源項(xiàng)目的數(shù)量平均增長(zhǎng)了 29%。

2023 年，開(kāi)源項(xiàng)目平均發(fā)布了 15 個(gè)可供使用的版本，不同開(kāi)源注冊(cè)中心的特定生態(tài)系統(tǒng)平均有 10 到 22 個(gè)版本。這意味著每個(gè)月都會(huì)發(fā)布 1-2 個(gè)新版本，在觀察到的生態(tài)系統(tǒng)中總共發(fā)布了 6000 萬(wàn)個(gè)新版本。

每個(gè)受檢測(cè)的生態(tài)系統(tǒng)都表現(xiàn)出一致的項(xiàng)目增長(zhǎng)率，平均同比增長(zhǎng)率高達(dá) 29%。插播一條：如果你近期準(zhǔn)備面試跳槽，建議在Java面試庫(kù)小程序在線刷題，涵蓋 2000+ 道 Java 面試題，幾乎覆蓋了所有主流技術(shù)面試題。

但隨著開(kāi)源組件供應(yīng)量的持續(xù)增長(zhǎng)，其需求卻未能與之同步。在過(guò)去兩年中，下載量的增長(zhǎng)率逐漸下降。2023 年的平均增長(zhǎng)率為 33%，與 2021 年 73% 的增長(zhǎng)率相比大幅下降。

與此同時(shí)，開(kāi)源軟件安全問(wèn)題沒(méi)有放緩的跡象。截至 2023 年 9 月，研究團(tuán)隊(duì)共發(fā)現(xiàn)了 245,032 個(gè)惡意軟件包，是往年總和的 2 倍。八分之一的開(kāi)源下載存在已知風(fēng)險(xiǎn)，且仍有 23% 的 Log4j 下載存在嚴(yán)重漏洞。

開(kāi)源項(xiàng)目的主動(dòng)維護(hù)也變得越來(lái)越少。研究表明，去年有近五分之一（18.6%）的項(xiàng)目停止維護(hù)，影響了 Java 和 JavaScript 生態(tài)系統(tǒng)。只有 11% 的開(kāi)源項(xiàng)目實(shí)際上得到了積極維護(hù)。

盡管存在這些缺陷，但 Sonatype 仍然表示，近 96% 存在已知漏洞的組件下載可以通過(guò)選擇無(wú)漏洞版本來(lái)避免。

就軟件開(kāi)發(fā)中的人工智能而言，97% 的受訪 DevOps 和 SecOps 領(lǐng)導(dǎo)者表示，他們目前在工作流程中某種程度上使用了人工智能，大多數(shù)人每天使用兩個(gè)或更多工具。去年，企業(yè)環(huán)境中 AI 和 ML 組件的采用率增加了 135%。

研究還發(fā)現(xiàn)，企業(yè)自認(rèn)為的安全程度與實(shí)際情況之間存在脫節(jié)。67% 的公司表示，他們確信自己的系統(tǒng)中沒(méi)有來(lái)自漏洞庫(kù)的代碼，但今年有 10% 的公司因漏洞組件而遭遇安全漏洞。39% 的公司可以在 1 到 7 天的時(shí)間內(nèi)發(fā)現(xiàn)漏洞，29% 的公司需要一周以上的時(shí)間，28% 的公司只需要不到一天的時(shí)間。

更多詳情可查看完整報(bào)告：https://www.sonatype.com/state-of-the-software-supply-chain/introduction

飛書(shū)大裁員，冒險(xiǎn)說(shuō)幾句大實(shí)話。。

求求你們了，別再做 SSH 外包項(xiàng)目了！

重要通知：我宣布永久免費(fèi)??！

IntelliJ IDEA 2024 首個(gè)大版本發(fā)布！