Snyk：2019年開源安全現狀調查報告（附下載）

• 由 Snyk 發起和分析的來自500多名開源專案維護者和使用者填寫的調查問卷
• 來自 Snyk 漏洞的內部資料，以及由 Snyk 監控和保護的數十萬個專案
• 從各個供應商釋出的外部資源中獲取到的研究報告
• 通過掃描數百萬個公開 GitHub 倉庫和包而收集到的資料

開源安全現狀

先看一看報告提供的關鍵資料，總共包括六個方面。

1.開源專案被採用情況

資料顯示，78％ 的漏洞存在於間接依賴關係中。而在2017到2018年期間，工具包平臺的增長情況如下：

• Maven Central – 102%
• PyPI – 40%
• npm – 37%
• NuGet – 26%
• RubyGems – 5.6%
• npm 報告2018年的下載量為3040億次

各大工具包平臺的增長情況

明顯可以看到，開源專案的採用率正在持續加速增長。僅是2018年，Java 工具包翻了一番，而 npm 增加了大約 250000 個新的工具包。

PyPI 在2018年擁有超過140億的下載量，較2017年增加了一倍，當時的下載次數約為63億次。

PyPI 工具包在2018年的下載次數

npm 工具包在2018年的下載次數

npm 稱得上是整個 JavaScript 生態系統的核心。多年來，其軟體包數量和下載數量一直在穩步增長，僅2018年12月的單月下載量就超過了300億次，而2018年全年的下載次數更是達到令人難以置信的3170億次。

2.漏洞識別狀況

• 37％ 的開源開發者在持續整合(CI)期間沒有實施任何型別的安全測試，54％ 的開發者沒有對 Docker 映象進行任何安全測試
• 從漏洞新增至開源軟體包到修復漏洞的時間中位數超過2年

持續整合期間的安全測試情況

3.已知的漏洞

• 兩年內應用程式的漏洞數量增長了 88％
• 在2018年，npm 的漏洞數量增長了 47％
• 根據 Maven Central 和 PHP Packagist 披露的資料，它們的漏洞數量分別增長了 27％ 和 56％
• 2018年與2017年相比，Snyk 在 RHEL, Debian 和 Ubuntu 中追蹤發現的漏洞數量增加了4倍多

每種語言其生態系統的新漏洞增長情況

今天，Snyk 目睹了其跟蹤的許多生態系統中報告的漏洞數量的增加，包括 PHP Packagist, Maven Central Repository, Golang, npm, NuGet, RubyGems 和 PyPI。其中在研究五種不同的語言生態系統時：PHP, Java, JavaScript, Python 和 Go 時，Snyk 發現自2014年以來，所有這些生態系統中披露的漏洞數量呈上升趨勢。尤其是 npm 和 Maven 中央倉庫，畢竟這兩者也是工具包數量增長最多的平臺。

4.誰該對開源軟體的安全性負責？

• 81％ 的使用者認為開發者負責開源軟體的安全性
• 68％ 的使用者認為開發者應該對他們提供的 Docker 容器映象負安全責任
• 只有 30% 的開源軟體維護者認為自己具有高安全性意識

誰該對開源軟體的安全性負責

開發者對自身安全意識的認知情況

5.Docker 映象中的已知漏洞

• 十大最受歡迎的預設 Docker 映象中的每一個都包含至少30個易受攻擊的系統庫
• 經過掃描的 44% Docker 映象可以通過更新其基本映象標記(image tag)來修復已知漏洞

十大流行 Docker 映象的漏洞數量狀況

Linux 系統的漏洞數量在持續增長

系統庫中的緊急漏洞和高危漏洞數量對比

6.Snyk 的統計資料

• 僅在2018年下半年，Snyk 為其使用者開啟了超過 70000 個 PR，以修復其專案中的漏洞
• CVE/NVD 和公共漏洞資料庫缺失了許多漏洞，僅佔 Snyk 跟蹤到的漏洞資料的 60％
• 僅在2018年，Snyk 旗下的專業研究團隊就披露了500個漏洞