调查：开源安全挑战持续存在

在 Anaconda 的2023 年数据科学现状调查中，我们试图更好地了解 OSS 如何被使用，IT 团队如何管理安全性以及 IT 工作人员对自己识别和解决漏洞的能力的信心。以下是对我们在调查中了解到的关于此主题的摘要，共有来自 126 个国家的 2,414 名数据从业人员、IT 管理员、大学教授和学生参与了调查。大多数受访者（53%）是数据从业人员，21% 是 IT 专业人员。

开源软件和安全

大多数受访者为使用 OSS 的公司工作，而保护软件供应链仍然很困难。但是，组织正在稳步加强对开源安全的关注。

在 2020 年的数据科学现状调查中，30% 的受访者表示他们的组织使用 OSS 但没有机制来确保安全。2021 年，25% 的受访者报告他们的组织缺乏安全机制，2022 年，略低于 20% 的受访者缺乏安全机制。在今年的调查中，只有 13% 的受访者没有保护他们的 OSS 供应链。

安全意识和对漏洞采取行动似乎正在改善。在今年的调查中，54% 的受访者了解美国国家标准与技术研究院发布的AI 风险管理框架（发布于 1 月）。在那些为美国公司工作的受访者中，50% 的受访者报告他们的组织由于该框架而增加了安全协议。

IT 管理员对安全修复缺乏信心

虽然开源软件在大多数组织中得到使用，但 IT 和安全团队在漏洞修复方面仍然面临挑战。只有 18% 的 IT 管理员报告说他们对识别和修复与 OSS 相关的漏洞的能力有信心。

许多 IT 工作人员将手动检查列为安全的首选形式，其中 80% 的受访者报告说他们或他们的团队将 25%-50% 的时间花在这些检查上。对受访者来说，其次是 Anaconda 等托管存储库。

在越来越多的组织将 AI 和数据科学应用于从运营到产品和服务的创新各个方面的时候，很明显，IT 修复风险的能力与数据从业人员希望利用最佳开源存储库、软件包和库的愿望之间存在差距。

需要扩大关于开源安全的教育

很少有大学教授 (16%) 将 OSS 安全作为课堂讨论的常见主题，34% 的教授表示他们很少或从不讨论安全问题。员工安全担忧与学术关注之间的差异可能表明需要扩大关于 OSS 安全的教育机会。

在参与调查的学生中，32% 的学生经常或经常在课程中讨论安全问题，而 17% 的学生从未讨论过安全问题。员工安全担忧与学术关注之间的差异可能表明需要进行进一步的研究，以获得更多关于 OSS 安全培训和技能提升的可操作见解。 

由于近一半的 IT 工作集中在手动检查必要的 OSS 上，添加 Anaconda 等托管存储库可以自动化识别漏洞和梳理软件包和库的过程，以及降低人为错误的风险。一些公司已经转向使用专有软件和 OSS 的组合来帮助保护他们的数据管道，但许多公司都表示，高管或 IT 抵制 OSS 是创新的主要障碍。 

阅读我们的 2023 年数据科学现状报告，了解更多信息。

下载报告