Snyk a publié aujourd'hui la sécurité open source de rapport Enquête 2019, qui est une entreprise qui fournit des services de sécurité pour les projets open source entreprises connues.
avant-proposAfin de mieux comprendre l'état de l'open source dans le domaine de la sécurité, et comment nous pouvons rendre le monde de la sécurité open source meilleure, entreprise Snyk grâce à des statistiques et l'analyse de grandes quantités de données, le statut open source quo 2019 Enquête sur la sécurité, dans lequel les données comprennent des sources:
- Initié par l'Snyk et l'analyse des questionnaires de plus de 500 mainteneurs de projets open source et les utilisateurs à remplir
- Les données internes de la base de données de vulnérabilité Snyk, ainsi que des centaines de milliers de surveillance et de protection du projet par Snyk
- Obtenu à partir de différents fournisseurs et ressources externes aux recherches publiées dans le rapport
- Les données recueillies par des millions d'analyse de dépôt GitHub public et paquets
Regardez d'abord les données clés fournies dans le rapport, y compris un total de six.
1. L'utilisation de projets open source est le casLes données montrent que 78% de la vulnérabilité est dans les dépendances indirectes. Et, la croissance des boîtes à outils de la plate-forme sont au cours des années 2017-2018 comme suit:
- Maven Central - 102%
- PyPI - 40%
- npm - 37%
- NuGet - 26%
- RubyGems - 5,6%
- rapport de NPM montant 2018 à 304 milliards de fois Télécharger
Clairement montre que le taux d'adoption des projets open source est d'accélérer. Poursuit Seulement en 2018, Java boîte à outils a doublé, tandis que NPM ajouté environ 250000 nouveaux outils.
PyPI en 2018, a plus de 14 milliards de téléchargements, plus que doublé par rapport à 2017, lorsqu'il est téléchargé environ 63 millions de fois.
boîte à outils PyPI téléchargements 2018 boîte à outils NPM téléchargements 2018NPM considéré comme le cur de l'écosystème JavaScript. Au fil des ans, le nombre de téléchargements et le nombre de colis a augmenté de façon constante, seulement 2018 téléchargements mensuels en Décembre à plus de 300 millions de fois, alors que le nombre de téléchargements de l'année 2018 est d'atteindre un incroyable 317000000000 fois.
2. Le statut d'identification de la vulnérabilité- 37% des développeurs open source ne mettent pas en uvre tout type de tests de sécurité en matière d'intégration continue (CI) pendant 54% des développeurs sans aucune image test de sécurité Docker
- Ajoutant à la vulnérabilité des logiciels open source de temps aux vulnérabilités fix médiane sur deux ans
- Le nombre de vulnérabilités dans les deux ans de l'application d'une augmentation de 88%
- En 2018, le nombre de vulnérabilités NPM a augmenté de 47%
- Selon la divulgation Maven Central et PHP Packagist des données, leur nombre de vulnérabilités a augmenté de 27% et 56%
- 2018 par rapport à 2017, le nombre de vulnérabilités Snyk dans RHEL, Debian et Ubuntu chenillé Découvert augmenté de 4 fois
Aujourd'hui, Snyk a connu une augmentation du nombre de vulnérabilités dans un grand nombre de son écosystème suivi dans le rapport, y compris PHP Packagist, Maven Central Repository, golang, NPM, NuGet, RubyGems et PyPI. Dans les études où cinq langues différentes des écosystèmes: PHP, Java, JavaScript, Python et Go quand, Snyk a constaté que depuis 2014, le nombre de ces écosystèmes étaient toutes les vulnérabilités divulguées à la hausse. Surtout NPM et dépôt central Maven, après tout, cet outil est à la fois le plus grand nombre de plate-forme de croissance des paquets.
4. Qui est responsable de la sécurité des logiciels open source?- 81% des utilisateurs pensent que les développeurs sont responsables de la sécurité des logiciels open source
- 68% des utilisateurs pensent que les développeurs doivent leur fournir une image négative de la responsabilité de la sécurité des conteneurs Docker
- Seulement 30% se considèrent comme les défenseurs des logiciels libres avec une grande sensibilisation à la sécurité
- Chacun des dix défaut le plus populaire Docker dans le miroir contient au moins 30 bibliothèques système vulnérables
- Après 44% le miroir de Docker peut réparer les vulnérabilités connues en mettant à jour l'étiquette d'image de base (balise image)
- Seulement dans la deuxième moitié de 2018, Snyk ses utilisateurs ont ouvert plus de 70000 PR, à des vulnérabilités de correctif dans son projet
- CVE / NVD Les bases de données de vulnérabilité publique et manque un certain nombre de défauts, 60% seulement Snyk suivi des données de vulnérabilité
- Seulement en 2018, l'équipe de recherche professionnelle Snyk a révélé 500 vulnérabilités
La communauté open source les gros titres de la CVMO sur un coup de pouce quotidien les derniers articles de haute qualité technique relatives à la traduction des langues étrangères, des mises à jour de logiciels et autres contenus premium de technologie blog. OSC préoccupé par le nombre global de la communauté open source, obtenir les dernières informations techniques tous les jours, cliquez sur le lien texte ci-dessous pour lire l'article original.
2019 Open Source Statut de sécurité Rapport d'enquête publié - Open Source Chine