在 Anaconda 的《2023 年数据科学现状调查》中,我们力求更好地了解开源安全 (OSS) 的使用方式、IT 团队如何管理安全以及 IT 工作人员在识别和解决漏洞方面的信心。本文总结了我们在调查中了解到的关于该主题的内容,共有来自 126 个国家/地区的 2,414 名数据从业者、IT 经理、大学/学院教授和学生参与了调查。大多数受访者 (53%) 是数据从业者,21% 是 IT 专业人员。
开源软件与安全
大多数受访者在使用 OSS 的公司工作,并且保护软件供应链仍然很困难。然而,各组织正在稳步增加对开源安全的关注。
在我们 2020 年的数据科学现状调查中,30% 的受访者表示其组织使用 OSS,但没有建立确保安全的机制。2021 年,25% 的受访者报告其组织缺乏安全机制,2022 年,只有不到 20% 的受访者缺乏安全机制。在今年的调查中,只有 13% 的受访者没有保护其 OSS 供应链。
安全意识和对漏洞的行动似乎正在改善。在今年的调查中,54% 的受访者了解美国国家标准与技术研究院于 1 月发布的《AI 风险管理框架》。在那些在美国公司工作的人中,50% 的人报告说他们的组织由于该框架而增加了安全协议。
IT 管理员对安全修复缺乏信心
虽然开源软件在大多数组织中都在使用,但 IT 和安全团队在漏洞修复方面仍然面临困难。只有 18% 的 IT 管理员表示,他们对识别和修复与 OSS 相关的漏洞的能力感到自信。
许多 IT 工作人员将手动检查作为首选的安全形式,其中 80% 的人报告说他们或他们的团队花费 25-50% 的时间进行这些检查。受访者的第二选择是像 Anaconda 这样的托管仓库。
在越来越多的组织将 AI 和数据科学应用于创新从运营到产品和服务的方方面面之际,很明显,IT 部门修复风险的能力与数据从业者希望利用最好的开源仓库、包和库的愿望之间存在差距。
需要扩大关于开源安全的教育
很少有大学教授 (16%) 认为 OSS 安全是课堂上经常讨论的话题,34% 的教授表示他们很少或从不讨论安全问题。员工的安全担忧与学术重点之间的差距可能表明需要扩大关于 OSS 安全的教育机会。
在回复调查的学生中,32% 的学生经常或经常在课程中讨论安全问题,而 17% 的学生从未讨论过安全问题。员工的安全担忧与学术重点之间的差距可能表明需要进行进一步研究,以获得关于 OSS 安全培训和技能提升的更具可操作性的见解。
鉴于近一半的 IT 工作都集中在对必要的 OSS 进行手动检查上,添加像 Anaconda 这样的托管仓库可以自动化识别漏洞和梳理包和库的过程,并降低人为错误的风险。一些公司已转向专有软件和 OSS 的组合来帮助保护其数据管道,但许多公司表示,管理层或 IT 部门对 OSS 的抵制是创新的主要障碍。
阅读我们的《2023 年数据科学现状报告》了解更多信息。