最新 IDC 研究 — 70% 的 IT 团队每周在安全补丁方面耗费时间超 6 小时

by Canonical on 21 May 2025

Canonical 与国际数据公司（IDC）开展的最新研究表明，在严苛的 CVE 补丁更新规定下，企业组织难以笃定地应用补丁，并且在开源软件供应链方面也面临着其他严峻挑战。

今日，Ubuntu 发行商 Canonical 发布了一份与 IDC 合作完成并由 Google Cloud 联合赞助的研究报告，其揭示了有关企业组织在安全补丁和不断加重的监管负担方面所面临压力与挑战的全新见解。这份题为《软件供应链现状：安全挑战、机遇以及借助开源软件实现韧性的路径》的报告，对 500 家拥有 250 名以上全职员工的企业组织进行了调查，确定了他们所面临的最紧迫问题。最值得注意的是，这些问题都是企业组织在漏洞和补丁管理、软件依赖关系或软件供应链可视性不足以及软件来源可信度方面面临的难题。

下载报告

90% 的受访企业倾向于从操作系统软件包中获取依赖项

企业选择开源软件作为常用工具的原因有很多，报告显示，近半数（44%）的企业组织选择开源软件是为了降低成本，其他一些则是为了加快开发速度（36%）。

然而，采用开源软件也给他们带来了开源软件供应链维护方面的新挑战。57% 的企业组织从上游开源资源库获取软件包，51% 的企业组织从诸如 pip 或 npm 这样的生态系统软件包中获取。

研究表明，90% 的企业组织都倾向于从其操作系统中获取软件包，但目前仅有 44% 的企业是这么做的。只有少数（11%）的企业表示会维护其内部构建的资源库。

下载报告查看完整结果

仅 41% 的受访企业有信心满足漏洞补丁要求

对各企业组织而言，维护开源软件的安全补丁和漏洞修复依旧是一项艰巨的挑战。70% 的企业每周在补丁方面花费超 6 小时，这几乎相当于每周要耗费整整一个工作日的时间来进行手动且耗时的补丁更新。

鉴于针对常见漏洞和披露（CVE）修复的严苛要求，这一挑战显得更加紧迫：70% 的受访企业规定，对于“高危”和“严重”级别的容器漏洞，必须在发现后的 24 小时内完成漏洞补丁更新——但仅有 41% 的受访企业对其执行这一政策的能力表示“非常有信心”或“完全有信心”。

一直以来，组织都对稳定性的注重都高于持续升级性。研究显示，多数企业会推迟更新操作系统和应用程序：超过 50% 的企业不会自动升级生产环境中的操作系统或应用程序至最新版本。相反，他们更倾向于待到有新功能需求时，或是等到资产或应用程序停止接收免费安全补丁时，再进行更新。

“2025 年，企业组织面临着极为严峻的挑战。企业内部存在巨大压力，他们需要为开发团队引入最新、最好的开源技术，以便其能够站在巨人的肩膀上进行开发。”Canonical 高级公共云赋能总监 Aaron Whitehouse 表示，“与此同时，我们可以清楚看到大多数企业都在努力寻求值得信赖的开源资源，并确保这些资源在企业规模应用中安全合规。这充分肯定了 Canonical 一直深耕于该领域所做的努力，比如我们作为 Ubuntu Pro 所含内容推出的扩展安全维护（ESM）以及我们的容器构建服务。”

AI 应用让安全和合规工作变得日益复杂

除了以上重大挑战之外，企业组织在 2025 年还将面临与日俱增的来自新难题的压力，这些难题包括云管理、AI 应用以及日益严格的监管要求。

许多企业都拥有多云或混合云环境。这些环境的复杂性又带来了配置错误、身份与访问管理以及安全管理其他方面的难题或担忧，而那些云技术应用更为成熟的企业早已成功解决了这些问题。

在人工智能方面，43% 的企业非常或极其担心自身保障 AI 堆栈安全的能力，而 60% 的企业承认他们仅采取了基本的安全控制措施，甚至根本没有采取任何措施来保护其 AI/ML 系统的安全。

最后，37% 的企业不了解合规性法规如何适用于特定的系统、技术和软件组件。合规制度因行业和用例而异。但无论是满足 FedRAMP、GDPR 和 HIPAA 等长期有效的现行合规要求，还是应对人工智能法案（AI Act）等新出台的监管指令，数量繁多的合规框架都使得安全供应链的要求变得愈加严苛，管理难度增加。57% 的受访企业认为，落实统一的合规框架将带来最大的商业效益。然而，仅有 37% 的企业采用统一的框架方案，从战略层面协调 IT、安全和业务三大要素。

应对挑战

由于网络安全事件风险增加、软件与基础架构陈旧过时以及人员配置难题，这些挑战给所有企业组织都带来了重大影响。

“随着企业对软件的使用范围不断扩大、供应链日益复杂，获取深层依赖根源可视性以及风险与漏洞处理的难度也在与日俱增。而且，随着软件供应链变得愈发复杂，IT 团队愈发难以采用可靠的方式来管理软件栈。”IDC 研究副总监 George Mironescu 表示，“可是，任何企业都不能承受在其软件交付方面做出妥协的代价。为了克服 2025 年漏洞管理、人工智能应用和合规监管要求等方面的挑战，企业需要探索新方案，构建新体系，从根本上解决系统与网络安全方面的安全和长期可持续性问题。”

为了直面这些挑战，企业需要将软件供应链视为软件交付的核心所在，实现自动化漏洞管理与补丁更新，并实现统一的合规框架或合规自动化工具，高效解决这些需求。

如需了解完整见解、结果及建议，请下载完整报告。

下载完整报告

关于 Canonical

Canonical 是 Ubuntu 发行商，致力于提供开源安全软件、支持与服务。我们的产品组合涵盖从最小规模的设备到最大规模的云，从内核到容器，从数据库到 AI 等各种关键系统元素。我们的客户包括顶尖的技术品牌、新兴的初创企业、政府以及家庭用户，Canonical 致力于为每一位用户提供值得信赖的开源解决方案。

欲了解更多，请访问 https://canonical.com/

关于国际数据公司

国际数据公司（IDC）是全球首屈一指的市场情报、咨询服务及活动提供商，所涉领域涵盖信息技术、电信和科技消费市场。IDC 在全球拥有 1300 多名分析师，为 110 多个国家提供在全球、地区和本地范围内积累的技术和行业机遇与趋势方面的专业知识。IDC 提供的分析与见解，能够帮助 IT 专业人士、企业高管以及投资界人士基于事实做出技术决策，并达成关键业务目标。

欲了解更多，请访问 https://www.idc.com/

了解关于保障开源软件供应链安全的更多内容：

• 与 Canonical 携手保障软件供应链安全
• 探索 Ubuntu Pro
• 阅读了解 Ubuntu Security Research Alliance 项目