En su séptima edición, el informe de Sonatype sobre el estado de la cadena de suministro de software 2021, combina un amplio conjunto de datos públicos y privados para revelar conclusiones importantes sobre el código open source y su papel cada vez más importante en la innovación digital.
La oferta de open source crece exponencialmente
En la actualidad, los cuatro principales ecosistemas de open source contienen un total de 37.451.682 componentes y paquetes. Estas mismas comunidades publicaron en conjunto 6.302.733 nuevas versiones de componentes/paquetes durante el año pasado y han introducido 723.570 proyectos totalmente nuevos en apoyo de 27 millones de desarrolladores de todo el mundo.
En 2021, los desarrolladores de todo el mundo habrán solicitado más de 2,2 billones de paquetes de open source, lo que representa un crecimiento interanual del 73% en las descargas de componentes de open source por parte de los desarrolladores. A pesar del creciente volumen de descargas, el porcentaje de componentes disponibles utilizados en aplicaciones de producción es sorprendentemente bajo.
Las vulnerabilidades son más comunes en los proyectos
El 10% de las versiones más populares de los proyectos de OSS tienen una probabilidad media del 29% de contener vulnerabilidades conocidas. Por el contrario, el 90% restante de las versiones de proyectos sólo tienen un 6,5% de probabilidades de contener vulnerabilidades conocidas. En conjunto, estas estadísticas indican que la gran mayoría de las investigaciones de seguridad (whitehat y blackhat) se centran en encontrar y solucionar (o explotar) las vulnerabilidades de los proyectos más utilizados.
Los ataques a la cadena de suministro de software aumentan un 650%
Los miembros de la comunidad mundial de open source se enfrentan a una amenaza novedosa y en rápida expansión que no tiene nada que ver con adversarios pasivos que explotan vulnerabilidades conocidas.
De febrero de 2015 a junio de 2019, se registraron 216 ataques a la cadena de suministro de software. Luego, de julio de 2019 a mayo de 2020, el número de ataques aumentó a 929 ataques. Sin embargo, en el último año, estos ataques fueron más de 12.000 y representaron un aumento del 650% año tras año.