2019年开源安全现状调查报告发布
Snyk 今天发布了2019年开源安全现状调查报告,这是一家针对开源项目提供安全服务的知名公司。
前言
为了更好地了解开源领域的安全现状,以及我们该如何让开源世界的安全性变得更好,Snyk 公司通过对大量的数据进行统计和分析,得到了2019年开源安全现状调查报告,其中数据来源包括:
- 由 Snyk 发起和分析的来自500多名开源项目维护者和用户填写的调查问卷
- 来自 Snyk 漏洞数据库的内部数据,以及由 Snyk 监控和保护的数十万个项目
- 从各个供应商发布的外部资源中获取到的研究报告
- 通过扫描数百万个公开 GitHub 仓库和包而收集到的数据
开源安全现状
先看一看报告提供的关键数据,总共包括六个方面。
1.开源项目被采用情况
数据显示,78% 的漏洞存在于间接依赖关系中。而在2017到2018年期间,工具包平台的增长情况如下:
- Maven Central – 102%
- PyPI – 40%
- npm – 37%
- NuGet – 26%
- RubyGems – 5.6%
- npm 报告2018年的下载量为3040亿次
各大工具包平台的增长情况
明显可以看到,开源项目的采用率正在持续加速增长。仅是2018年,Java 工具包翻了一番,而 npm 增加了大约 250000 个新的工具包。
PyPI 在2018年拥有超过140亿的下载量,较2017年增加了一倍,当时的下载次数约为63亿次。
PyPI 工具包在2018年的下载次数
npm 工具包在2018年的下载次数
npm 称得上是整个 JavaScript 生态系统的核心。多年来,其软件包数量和下载数量一直在稳步增长,仅2018年12月的单月下载量就超过了300亿次,而2018年全年的下载次数更是达到令人难以置信的3170亿次。
2.漏洞识别状况
- 37% 的开源开发者在持续集成(CI)期间没有实施任何类型的安全测试,54% 的开发者没有对 Docker 镜像进行任何安全测试
- 从漏洞添加至开源软件包到修复漏洞的时间中位数超过2年
持续集成期间的安全测试情况
3.已知的漏洞
- 两年内应用程序的漏洞数量增长了 88%
- 在2018年,npm 的漏洞数量增长了 47%
- 根据 Maven Central 和 PHP Packagist 披露的数据,它们的漏洞数量分别增长了 27% 和 56%
- 2018年与2017年相比,Snyk 在 RHEL, Debian 和 Ubuntu 中追踪发现的漏洞数量增加了4倍多
每种语言其生态系统的新漏洞增长情况
今天,Snyk 目睹了其跟踪的许多生态系统中报告的漏洞数量的增加,包括 PHP Packagist, Maven Central Repository, Golang, npm, NuGet, RubyGems 和 PyPI。其中在研究五种不同的语言生态系统时:PHP, Java, JavaScript, Python 和 Go 时,Snyk 发现自2014年以来,所有这些生态系统中披露的漏洞数量呈上升趋势。尤其是 npm 和 Maven 中央仓库,毕竟这两者也是工具包数量增长最多的平台。
4.谁该对开源软件的安全性负责?
- 81% 的用户认为开发者负责开源软件的安全性
- 68% 的用户认为开发者应该对他们提供的 Docker 容器镜像负安全责任
- 只有 30% 的开源软件维护者认为自己具有高安全性意识
谁该对开源软件的安全性负责
开发者对自身安全意识的认知情况
5.Docker 镜像中的已知漏洞
- 十大最受欢迎的默认 Docker 镜像中的每一个都包含至少30个易受攻击的系统库
- 经过扫描的 44% Docker 镜像可以通过更新其基本镜像标记(image tag)来修复已知漏洞
十大流行 Docker 镜像的漏洞数量状况
Linux 系统的漏洞数量在持续增长
系统库中的紧急漏洞和高危漏洞数量对比
6.Snyk 的统计数据
- 仅在2018年下半年,Snyk 为其用户打开了超过 70000 个 PR,以修复其项目中的漏洞
- CVE/NVD 和公共漏洞数据库缺失了许多漏洞,仅占 Snyk 跟踪到的漏洞数据的 60%
- 仅在2018年,Snyk 旗下的专业研究团队就披露了500个漏洞
完整报告下载地址 https://bit.ly/SoOSS2019
原文地址:https://www.oschina.net/news/104778/opensource-security-2019
2019年开源安全现状调查报告发布相关推荐
- 2019 年 JavaScript 现状调查报告火热出炉
公众号关注 "GitHubDaily" 设为 "星标",带你了解圈内新鲜事! StateOfJS 发布了 2019 年的 JavaScript 现状调查报告.今 ...
- 《中国DevOps现状调查报告》发布,悬镜 IAST 工具市场应用率第一
近日,云计算开源产业联盟发布了<中国DevOps现状调查报告(2021年)>,对2020至2021年度DevOps在中国落地实践的现状展开调查,并基于调研结果对未来发展趋势做出预判.调查报 ...
- 重磅!《中国DevOps现状调查报告(2021年)》正式发布!(附报告获取方式)
中国DevOps现状调查报告(2021年)正式发布 2021年7月15日,由中国信息通信研究院举办的"2021中国互联网大会-数字化治理论坛"在北京国家会议中心成功召开.会上,中国 ...
- 2020 年中国程序员薪资和生活现状调查报告
作者 | 程序员客栈 来源 | ID:proginnwx 根据中国互联网络信息中心(CNNIC)近日发布第 44 次<中国互联网络发展状况统计报告>.截至 2019 年 06 月,中国网民 ...
- 月薪集中在8k-17k、厌倦大小周、近三成的人没有跳槽过,2021-2022中国开发者调查报告发布
月薪集中在8k-17k.厌倦大小周.近三成的人没有跳槽过,2021-2022中国开发者调查报告发布 「学不完的技术,跟不动的技术潮流」,过去一年,随着数字化.智能化趋势的来临,无论是传统的工具.开发者 ...
- 深度解读中国DevOps现状调查报告(2022)
在刚刚结束的7月末,由中国信息通信研究院.中国通信标准化协会联合主办的2022 首届XOps产业生态峰会上,现场发布了<中国DevOps现状调查报告(2022)> 该报告作为国内DevOp ...
- 【资料分享】2018全球DevOps现状调查报告(中文版)
2018全球DevOps现状调查报告,是DevOps全球风向标,英文版于今年9月发布,两位华为云DevCloud专家参加了中文版的翻译工作,并于11月2号的DevOpsDays深圳站大会正式发布. 中 ...
- 【报告分享】2019年全球数字化风险调查报告-德勤.pdf(附下载链接)
今天给大家分享德勤发布的报告<认清趋势,抓住机遇-2019年全球数字化风险调查报告.pdf>,报告共包含如下六大部分: 1.颠覆性技术对企业的影响: 2.数字化转型治理: 3.数字化转型带 ...
- 2020年中国程序员薪资和生活现状调查报告
程序员一直都是一个备受人们关注的群体,互联网的飞速发展时期,市场对程序员的需求尤为旺盛. 为了更好地为大家服务,对中国程序员薪资和生活现状做了一些调查,对北京.上海.广东和浙江等全国29个省.直辖市及 ...
最新文章
- Delphi中的指针类型
- 友盟分享小程序_iOS分享微信小程序
- 下一个嵌入式大神,就是你。
- 【Envi风暴】ENVI中求两幅遥感影像的相关性(相关系数)
- 简洁明了!Java实现单向环形链表以解决约瑟夫环Josepfu问题
- Servlet拦截器
- ARIMA模型的介绍
- JVM--心得 堆栈区域和GC的设置
- Tomcat 改BUG之 localhost:8080 404
- Mybatis foreach 批量插入
- IOS socket编程--Asyncsocket
- Kafka : 报错 KafkaController NoSuchElementException : : key not found : [xxx]
- Ubuntu 14.04报错: error while loading shared libraries libc++.so cannot open shared object file解决
- 全代码实现ios-1
- php伪静态后301,php伪静态htaccess实现301重定向方法
- wps算账怎么用计算机,WPS教程--基本编辑功能的使用--操作界面
- Linux系统编程之捕捉SIGCHLD
- github语法使用
- 2022秋招蚂蚁金服面试
- python编写hello程序_python第一个程序“Hello, world”