2025年软件供应链面临的最大挑战

摘要：合作伙伴内容几天前，Canonical公司与IDC和Google合作发布了一项原创研究报告，题为《软件供应链现状：开源软件的安全挑战、机遇和韧性之路》。该报告调研了500名来自拥有250名以上全职员工组织的参与者，以了解他们最紧迫的问题。研究发现，漏洞和补丁

合作伙伴内容几天前，Canonical公司与IDC和Google合作发布了一项原创研究报告，题为《软件供应链现状：开源软件的安全挑战、机遇和韧性之路》。该报告调研了500名来自拥有250名以上全职员工组织的参与者，以了解他们最紧迫的问题。研究发现，漏洞和补丁管理难度日益增加，软件依赖关系和软件供应链可见性不足，以及对软件来源可信度的担忧。

在本文中，我将逐一分析最重要的研究发现，概述它们对2025年组织机构的影响，并提出四项建议，帮助您立即解决这项研究所揭示的最严重问题。

**研究的关键洞察**

**1. 开源软件支撑关键工作负载**

成本控制、效率提升和创新发展是每个组织和行业的永恒目标。开源软件在实现这些目标方面发挥着关键作用。

报告显示，70%的企业正在采用开源软件，这表明他们将开源视为降低成本、推动创新、加速产品开发和改善安全性的宝贵工具，同时避免许可证费用和供应商锁定。

影响很明显：如果您属于那30%的企业，就有被落下的风险，应该评估开源软件在改善运营中的作用。

没有开源软件，您将为那些让业务更快速、更具成本效益和更盈利的创新付出更多代价。无论我们谈论的是安全容器、针对您硬件优化的操作系统版本，还是像Ceph、Kubernetes和MicroCloud这样的云技术等创新，开源技术都证明有更好、更高效的方式来完成您的工作，而无需被锁定在多年合同或无法迁移的技术中。

**2. 企业在开源供应链管理上存在困难**

现代应用程序的现实是，软件的质量取决于其补丁。但获取这些补丁是一个复杂的难题，大多数组织都在努力解决。我们的研究显示，90%的组织更愿意在操作系统级别获取软件包，但只有44%的组织实际这样做。

相反，组织从各个地方获取软件，而且只有在必要时才这样做。大多数组织从上游存储库获取更新，超过50%的组织不会自动升级到最新版本。相反，他们等到需要新功能或免费更新程序停止时才升级。这意味着许多企业没有主动打补丁以在威胁发生前预防它们，这让它们面临不可接受的风险暴露和网络安全事件的威胁。

许多现代安全程序可能对用户不友好且具有破坏性。在不了解CVE是什么或其威胁是什么的情况下，用户会认为这些（通常至关重要的）安全更新是无意义或多余的下载，只会妨碍工作。

然而，简单地延迟或忽略安全更新会带来问题。这违反了既定的最佳实践，使组织暴露于新发现的漏洞中，并创造了更昂贵和耗时的工作。这是因为组织必须进行密集、低效的工作，如监控上游开源和扫描。

通过可信提供商或直接从操作系统进行自动补丁是应对补丁流程缺陷的最佳方案。当您通过Ubuntu Pro等服务为应用程序、系统或操作系统打补丁时，您正在通过可信来源使用供应链更新和安全修复。我们的大多数补丁不需要重启，对用户的影响很小或没有影响，除非您另有选择。

**3. 现行的漏洞管理策略不可持续**

组织面临的另一个紧迫问题是他们为自己设定的要求极高的安全维护标准。这与我们后面将讨论的合规压力日益增长以及需要展示异常高水平的网络安全准备度的部分相符。简而言之，许多组织为补丁和漏洞维护设定了极难跟上的高目标。

我们的研究显示，70%的组织要求在识别"高"和"关键"容器漏洞后24小时内进行漏洞修补。然而，只有41%的受访者对其组织执行此政策的能力非常或完全有信心。实际上，40%的受访者在跟踪依赖关系、版本和更新方面存在困难，37%的受访者在修复关键漏洞的任务中感到受到有限技能和工具不足的阻碍。

这就是补丁和管理漏洞的严酷现实：这是困难且耗时的工作。然而，超过37%的受访者正在手动完成所有这些工作：数据显示，十分之七的组织每周在补丁上花费超过六小时。可以说，企业不应该每周花费整整一天时间在一个可以通过可信提供商简单自动化的流程上。

也许最简单的方法是将整个负担转移到数字运营的核心：操作系统。Ubuntu在过去十年中迅速发展成为世界上最受信任的开发平台之一，主要是因为开发人员知道他们的应用程序和系统在24小时内受到保护，免受关键漏洞影响，并在长达12年的时间内为超过36,000个软件包获得安全更新。

**4. AI是一个主要关注点**

人工智能是企业的主要关注点。然而，对AI的恐惧不是关于劳动力替代或市场竞争力的丧失，而是这些新工具带来的安全风险。企业希望利用AI的优势，但对其在访问、数据隐私和安全方面带来的挑战保持警惕。

根据调查，43%的组织对其保护AI技术栈的能力非常或极度担忧。也许更令人担忧的是，60%的组织最多只有基本的安全控制来保护其AI/机器学习系统。

这种恐惧超越了数据泄露和安全风险，还包括对他们使用或创建的AI应用程序的知识产权保护。组织中日益增长的影子AI风险也是一个担忧。

这种暴露是站不住脚的。如果AI还没有影响您的运营，它绝对会在不久的将来产生影响。您需要保护您的系统并探索可能具有突破性的新技术，如机密计算，它可以在运行时保护您的AI系统并保护您的知识产权。

值得庆幸的是，保护您的AI技术栈通常是整体应用程序安全态势管理的延伸。即使在快速发展的技术和威胁环境中，您也可以部署强大的技术来创建多层防御，使攻击成本变得很高。这些包括：

快速漏洞响应。通过扩展安全维护解决已知威胁，确保快速补丁和保护。

使用AppArmor进行零日威胁遏制。将应用程序限制为所需的最低访问权限，阻止攻击者。

受监管的行业标准。符合FIPS的加密技术和CIS基准提供针对您需求的系统加固。

引导级保护。安全启动强制执行验证的代码执行，而全磁盘加密(FDE)保护静态敏感数据。

采用机密虚拟机的下一代隔离。Intel TDX和AMD SEV SNP等技术创建CPU级隔离，即使在管理程序受到威胁或内部威胁的情况下也能保护数据。

机密计算。机密计算使用隔离和远程认证的组合，通过在处理敏感数据时对其进行加密来保护敏感数据，在不可信环境中保护您的工作负载。

**5. 日益严格的监管仍是关键挑战**

新一波监管正在影响各种规模和行业的企业。许多组织难以理解这些新要求对其运营和系统意味着什么。

我们的研究显示，据报告37%的企业在了解这些法规如何适用于特定软件、系统或工具方面存在困难。研究还发现34%的企业不确定如何在受影响的技术栈中一致地执行合规标准。

那么我们的调查受访者希望看到什么解决方案？57%的人认为实施通用合规框架将创造最大的商业利益，然而只有37%的公司遵循统一方法，将IT、安全和业务保持一致。

在Canonical，我们非常了解企业在日益严格的监管环境中面临的挑战。从FedRAMP、DISA-STIG、HIPPA和FISMA到FIPS 140-3、CIS、通用标准和欧盟网络韧性法案，企业必须满足的合规标准不胜枚举。

就在过去几个月中，我们已经帮助真正的组织满足了这些要求并获得了回报：Airlock Digital在高度敏感和严格监管的行业中满足了客户要求，同时实现了30-40%的成本节约和性能改进。Lucid获得了FedRAMP合规所需的AWS兼容和FIPS 140-2认证包，使其能够向美国最大的机构营销其在线协作工具。Launch Darkly在AWS上部署了符合FIPS标准的Ubuntu镜像，成为市场上第一个获得FedRAMP授权的功能管理平台。

**应对这些新挑战的建议**

我们的研究表明需要安全的开源工具和维护，以及从可信来源采购开源软件。它强调了安全维护和云供应的需要，这些可以节省交付尖端软件和服务的时间和精力。我们建议采取四项对应对这些挑战至关重要的行动：

探索开源技术作为推动创新、降低成本和避免供应商锁定的策略。

将软件供应链纳入软件交付的核心。

自动化操作系统更新以进行漏洞管理和补丁，以便工程和安全团队可以专注于更高效的工作。

识别监管和合规要求的影响，以确定安全开源软件在何处可以加强韧性。

无形且轻松的安全、有韧性的合规流程，以及选择能够灵活应对不断变化的漏洞和威胁环境的安全开源软件，对于获得竞争优势至关重要。毕竟，采用正确的方法，安全不仅不再是麻烦，它还成为真正竞争优势的来源。通过遵循我们的建议，您可以确保为2025年带来的所有软件供应挑战做好准备。

如果您想深入了解调查的所有数据点和结果，请下载完整报告，或在我们的网站www.canonical.com上查找此研究和更多信息。

Q&A

Q1：开源软件在企业中的采用情况如何？

A：根据研究报告显示，目前70%的企业正在采用开源软件。这表明大多数企业将开源视为降低成本、推动创新、加速产品开发和改善安全性的宝贵工具，同时避免许可证费用和供应商锁定。如果企业不采用开源软件，将面临被竞争对手超越的风险。

Q2：企业在漏洞管理方面面临什么挑战？