報告下載:新增199IT官方微信【i199it】,回覆關鍵詞【2019年開源安全現狀調查報告】即可!

Snyk 今天釋出了2019年開源安全現狀調查報告,這是一家針對開源專案提供安全服務的知名公司。為了更好地瞭解開源領域的安全現狀,以及我們該如何讓開源世界的安全性變得更好,Snyk 公司通過對大量的資料進行統計和分析,得到了2019年開源安全現狀調查報告,其中資料來源包括:

  • 由 Snyk 發起和分析的來自500多名開源專案維護者和使用者填寫的調查問卷
  • 來自 Snyk 漏洞的內部資料,以及由 Snyk 監控和保護的數十萬個專案
  • 從各個供應商釋出的外部資源中獲取到的研究報告
  • 通過掃描數百萬個公開 GitHub 倉庫和包而收集到的資料

開源安全現狀

先看一看報告提供的關鍵資料,總共包括六個方面。

1.開源專案被採用情況

資料顯示,78% 的漏洞存在於間接依賴關係中。而在2017到2018年期間,工具包平臺的增長情況如下:

  • Maven Central – 102%
  • PyPI – 40%
  • npm – 37%
  • NuGet – 26%
  • RubyGems – 5.6%
  • npm 報告2018年的下載量為3040億次


各大工具包平臺的增長情況

明顯可以看到,開源專案的採用率正在持續加速增長。僅是2018年,Java 工具包翻了一番,而 npm 增加了大約 250000 個新的工具包。

PyPI 在2018年擁有超過140億的下載量,較2017年增加了一倍,當時的下載次數約為63億次。


PyPI 工具包在2018年的下載次數


npm 工具包在2018年的下載次數

npm 稱得上是整個 JavaScript 生態系統的核心。多年來,其軟體包數量和下載數量一直在穩步增長,僅2018年12月的單月下載量就超過了300億次,而2018年全年的下載次數更是達到令人難以置信的3170億次。

2.漏洞識別狀況

  • 37% 的開源開發者在持續整合(CI)期間沒有實施任何型別的安全測試,54% 的開發者沒有對 Docker 映象進行任何安全測試
  • 從漏洞新增至開源軟體包到修復漏洞的時間中位數超過2年


持續整合期間的安全測試情況

3.已知的漏洞

  • 兩年內應用程式的漏洞數量增長了 88%
  • 在2018年,npm 的漏洞數量增長了 47%
  • 根據 Maven Central 和 PHP Packagist 披露的資料,它們的漏洞數量分別增長了 27% 和 56%
  • 2018年與2017年相比,Snyk 在 RHEL, Debian 和 Ubuntu 中追蹤發現的漏洞數量增加了4倍多


每種語言其生態系統的新漏洞增長情況

今天,Snyk 目睹了其跟蹤的許多生態系統中報告的漏洞數量的增加,包括 PHP Packagist, Maven Central Repository, Golang, npm, NuGet, RubyGems 和 PyPI。其中在研究五種不同的語言生態系統時:PHP, Java, JavaScript, Python 和 Go 時,Snyk 發現自2014年以來,所有這些生態系統中披露的漏洞數量呈上升趨勢。尤其是 npm 和 Maven 中央倉庫,畢竟這兩者也是工具包數量增長最多的平臺。

4.誰該對開源軟體的安全性負責?

  • 81% 的使用者認為開發者負責開源軟體的安全性
  • 68% 的使用者認為開發者應該對他們提供的 Docker 容器映象負安全責任
  • 只有 30% 的開源軟體維護者認為自己具有高安全性意識


誰該對開源軟體的安全性負責


開發者對自身安全意識的認知情況

5.Docker 映象中的已知漏洞

  • 十大最受歡迎的預設 Docker 映象中的每一個都包含至少30個易受攻擊的系統庫
  • 經過掃描的 44% Docker 映象可以通過更新其基本映象標記(image tag)來修復已知漏洞


十大流行 Docker 映象的漏洞數量狀況


Linux 系統的漏洞數量在持續增長


系統庫中的緊急漏洞和高危漏洞數量對比

6.Snyk 的統計資料

  • 僅在2018年下半年,Snyk 為其使用者開啟了超過 70000 個 PR,以修復其專案中的漏洞
  • CVE/NVD 和公共漏洞資料庫缺失了許多漏洞,僅佔 Snyk 跟蹤到的漏洞資料的 60%
  • 僅在2018年,Snyk 旗下的專業研究團隊就披露了500個漏洞

報告下載:新增199IT官方微信【i199it】,回覆關鍵詞【2019年開源安全現狀調查報告】即可!