构建开源信任链:新研究揭示关键障碍与解决路径

构建开源信任链:新研究揭示关键障碍与解决路径

研究背景:开源已成IT基石,但管理仍存碎片化

Canonical近日发布了最新研究报告《开源信任链》。这项基于500名DevOps专业人员问卷调查的成果,深入剖析了企业在开源软件供应链管理上的现状。报告指出,尽管许多企业正转向可验证的溯源机制和自动化安全工作流,但团队内部协作失调与方法割裂依然是多数组织面临的严峻挑战。

开源无处不在,管理却各自为政

开源技术驱动着开发工具链,支撑着云原生平台,并横跨本地、云端和边缘环境。组织虽然在制定策略和引入安全工具,但许多环节依旧依赖碎片化的流程,尤其在CI/CD流程中,从开发到生产阶段存在显著的可见性盲区。研究显示,90%的受访者认为其所在组织需要改善跨团队在开源软件上的协作。

研究关键发现概览图
图1:研究关键发现概览

企业常常将来自不同来源的组件拼凑在一起,使用不一致的方法和错位的升级节奏。安全团队在这种环境下难以有效管理传递性依赖;而运营团队则不得不在系统稳定性与必要变更之间反复权衡。

“开源是企业的关键基础,但管理依赖项蔓延可能带来运营与安全双重挑战。在现有供应链问题之上,软件开发节奏还在不断加快。因此,组织将自动化和跨团队协作融入SDLC治理,正变得越来越重要。”
——Rachel Stephens,RedMonk研究总监

研究发现:三大痛点阻碍供应链成熟

报告指出了运营层面的具体挑战,并揭示了内部协作失调如何影响软件供应链:

  • 跨团队摩擦拖慢进展:71%的受访者表示,DevOps与平台工程团队之间在开源规模化使用上存在紧张关系。
  • 手动流程阻碍成熟度:35%的组织仍依赖人工代码审查来确保安全,另有21%使用手动方法跟踪漏洞。
  • 运营风险导致补丁延迟:补丁延迟的首要原因包括系统兼容性问题(53%)和资源限制(如人员短缺,占43%)。
补丁延迟的常见原因
图2:组织修补漏洞时最常遇到的延迟原因(前三项合并结果)

弥合差距:构建可信基础的三条路径

研究同时指出了实现更可预测、更安全运营的清晰方向:

  • 将操作系统作为战略控制平面:98%的受访者认为,操作系统在检测和应用开源组件更新方面“极其重要”或“非常重要”,它可作为治理供应链卫生的中央层。
  • 建立可验证的溯源机制:48%的受访者表示,可追踪的软件包能提升他们对软件供应链安全的信心。
  • 强化协作:选择正确的平台作为基础,可带来一致的治理能力,并改善DevOps、安全与运营团队之间的工作关系。

“这项新研究强调,要规模化开源创新,组织必须摒弃碎片化工作流,转而采用稳定的基础,从而加速实现安全与合规。在Canonical,我们通过简化漏洞管理、提供单一且可验证的软件栈以及端到端的可信溯源,帮助客户达成这一目标。”
——Lech Sandecki,Canonical产品经理

Canonical:让开源值得信赖

提升流程成熟度并改善内部协作,是应对安全问题的关键。通过Ubuntu Pro,Canonical为操作系统及数千个上游开源软件包提供一致的安全维护服务。

通过简化漏洞管理,并借助向后移植技术承诺长达15年的平台稳定性,Canonical帮助化解了严格安全要求与运营连续性之间的固有矛盾。这一转变能使组织从碎片化的可见性与复杂管理状态,迈向安全设计的架构,确保所依赖的开源基础仍是创新之源,而非风险之源。

关于本项研究

本报告基于Vanson Bourne对全球500名IT专业人员的问卷调查,受访者来自美洲、EMEA(欧洲、中东和非洲)及亚太地区的各类组织。

更多开源安全资源

查阅我们关于软件供应链的最新研究,Canonical提供深度指南,帮助您保护开源生态系统并应对供应链复杂性。

  • 软件供应链现状:了解IDC研究如何揭示:尽管修补力度加大,软件供应链安全仍是挑战,且人工智能正在使合规局面更加严峻。下载研究报告
  • 开源漏洞管理指南:了解开源安全漏洞的主要挑战、有效漏洞管理的最佳实践,以及如何通过Ubuntu Pro应用NIST框架等网络安全框架。下载指南

关注微信号:智享开源 ,及时了解更新信息。

原文链接:https://ubuntu.com//blog/open-source-security-research

评论列表

发表评论

你必须 登录 才能发表评论.

为您推荐


请支持IMCN发展!

谁在捐赠

微信捐赠 支付宝捐赠
微信捐赠 支付宝捐赠
ta的个人站点

发表文章4438篇

关注我的头条 不要放弃,百折不挠,坚强、自信。


扫码关注公众号:智享开源

最新科技信息


归档

近期评论