Java (Maven)、JavaScript (npm)、Python (PyPI)、.NET (NuGet Gallery) 四大开源生态系统的开源应用；

 

开源项目的主动维护也变得越来越少。研究表明，去年有近五分之一（18.6%）的项目停止维护，影响了 Java 和 JavaScript 生态系统。只有 11% 的开源项目实际上得到了积极维护。尽管存在这些缺陷，但 Sonatype 仍然表示，近 96% 存在已知漏洞的组件下载可以通过选择无漏洞版本来避免。

就软件开发中的人工智能而言，97% 的受访 DevOps 和 SecOps 领导者表示，他们目前在工作流程中某种程度上使用了人工智能，大多数人每天使用两个或更多工具。去年，企业环境中 AI 和 ML 组件的采用率增加了 135%。

研究还发现，企业自认为的安全程度与实际情况之间存在脱节。67% 的公司表示，他们确信自己的系统中没有来自漏洞库的代码，但今年有 10% 的公司因漏洞组件而遭遇安全漏洞。39% 的公司可以在 1 到 7 天的时间内发现漏洞，29% 的公司需要一周以上的时间，28% 的公司只需要不到一天的时间。

 

更多详情：Understanding Open Source Adoption: Insights from the 9th State of the Software Supply Chain Report.