行业核心趋势 - 行业正经历更广泛的转变，安全风险在软件交付生命周期中持续增加，风险正越来越多地由软件供应链及构建和部署应用的工具所塑造，而不仅仅是生产环境中运行的代码[2] - 软件构建方式已发生根本性改变，但安全实践未能跟上，DevSecOps团队陷入两难境地：行动过慢会导致过时软件积累已知漏洞，行动过快则自动化可能引入未经审查的代码[4] 安全风险现状 - 近九成（87%）的组织在其已部署的服务中至少存在一个已知的可利用漏洞[1][7] - 42%的服务依赖于不再积极维护的库[7] - 使用生命周期终止语言版本的服务，在50%的情况下会面临可利用漏洞，而使用受支持版本的服务这一比例为31%[7] 软件供应链与依赖风险 - 软件依赖的更新速度跟不上其老化速度，软件依赖的中位数现已过时278天，比去年落后了63天[2] - 半数（50%）的组织会在新库版本发布后24小时内采用，这增加了安装恶意或受损软件的风险[3][7] - 仅有4%的组织使用提交哈希将所有公共GitHub Actions固定到特定版本，这使得CI/CD流水线容易受到第三方代码静默更改的影响[3][7] - 构建和部署流水线越来越多地暴露于第三方代码的静默更改之下，使得CI/CD系统成为关键的供应链风险[3] 风险识别与优先级挑战 - 漏洞警报量持续上升，但大多数并不代表直接的业务风险，一旦应用运行时上下文，仅有18%被标记为“严重”的漏洞仍保持严重级别[5] - 警报泛滥掩盖了真实风险，导致团队被噪音干扰，而真正的威胁却可能被忽略，缺乏上下文使得优先级排序更加困难[6]