2019 Rapport de situation publié la sécurité open source

2019-02-28 11:42:20

Cliquez en haut à droite, se concentrer sur les titres de la CVMO open source sur la Chine, obtenir les dernières informations techniques

Snyk a publié aujourd'hui la sécurité open source de rapport Enquête 2019, qui est une entreprise qui fournit des services de sécurité pour les projets open source entreprises connues.

avant-propos

Afin de mieux comprendre l'état de l'open source dans le domaine de la sécurité, et comment nous pouvons rendre le monde de la sécurité open source meilleure, entreprise Snyk grâce à des statistiques et l'analyse de grandes quantités de données, le statut open source quo 2019 Enquête sur la sécurité, dans lequel les données comprennent des sources:

  • Initié par l'Snyk et l'analyse des questionnaires de plus de 500 mainteneurs de projets open source et les utilisateurs à remplir
  • Les données internes de la base de données de vulnérabilité Snyk, ainsi que des centaines de milliers de surveillance et de protection du projet par Snyk
  • Obtenu à partir de différents fournisseurs et ressources externes aux recherches publiées dans le rapport
  • Les données recueillies par des millions d'analyse de dépôt GitHub public et paquets
Open Source Situation de sécurité

Regardez d'abord les données clés fournies dans le rapport, y compris un total de six.

1. L'utilisation de projets open source est le cas

Les données montrent que 78% de la vulnérabilité est dans les dépendances indirectes. Et, la croissance des boîtes à outils de la plate-forme sont au cours des années 2017-2018 comme suit:

  • Maven Central - 102%
  • PyPI - 40%
  • npm - 37%
  • NuGet - 26%
  • RubyGems - 5,6%
  • rapport de NPM montant 2018 à 304 milliards de fois Télécharger

La croissance de la grande plate-forme Kit

Clairement montre que le taux d'adoption des projets open source est d'accélérer. Poursuit Seulement en 2018, Java boîte à outils a doublé, tandis que NPM ajouté environ 250000 nouveaux outils.

PyPI en 2018, a plus de 14 milliards de téléchargements, plus que doublé par rapport à 2017, lorsqu'il est téléchargé environ 63 millions de fois.

boîte à outils PyPI téléchargements 2018

boîte à outils NPM téléchargements 2018

NPM considéré comme le cur de l'écosystème JavaScript. Au fil des ans, le nombre de téléchargements et le nombre de colis a augmenté de façon constante, seulement 2018 téléchargements mensuels en Décembre à plus de 300 millions de fois, alors que le nombre de téléchargements de l'année 2018 est d'atteindre un incroyable 317000000000 fois.

2. Le statut d'identification de la vulnérabilité
  • 37% des développeurs open source ne mettent pas en uvre tout type de tests de sécurité en matière d'intégration continue (CI) pendant 54% des développeurs sans aucune image test de sécurité Docker
  • Ajoutant à la vulnérabilité des logiciels open source de temps aux vulnérabilités fix médiane sur deux ans

La situation de la sécurité lors des tests d'intégration continue 3. vulnérabilités connues
  • Le nombre de vulnérabilités dans les deux ans de l'application d'une augmentation de 88%
  • En 2018, le nombre de vulnérabilités NPM a augmenté de 47%
  • Selon la divulgation Maven Central et PHP Packagist des données, leur nombre de vulnérabilités a augmenté de 27% et 56%
  • 2018 par rapport à 2017, le nombre de vulnérabilités Snyk dans RHEL, Debian et Ubuntu chenillé Découvert augmenté de 4 fois

De nouvelles vulnérabilités chaque langue sa croissance de l'écosystème

Aujourd'hui, Snyk a connu une augmentation du nombre de vulnérabilités dans un grand nombre de son écosystème suivi dans le rapport, y compris PHP Packagist, Maven Central Repository, golang, NPM, NuGet, RubyGems et PyPI. Dans les études où cinq langues différentes des écosystèmes: PHP, Java, JavaScript, Python et Go quand, Snyk a constaté que depuis 2014, le nombre de ces écosystèmes étaient toutes les vulnérabilités divulguées à la hausse. Surtout NPM et dépôt central Maven, après tout, cet outil est à la fois le plus grand nombre de plate-forme de croissance des paquets.

4. Qui est responsable de la sécurité des logiciels open source?
  • 81% des utilisateurs pensent que les développeurs sont responsables de la sécurité des logiciels open source
  • 68% des utilisateurs pensent que les développeurs doivent leur fournir une image négative de la responsabilité de la sécurité des conteneurs Docker
  • Seulement 30% se considèrent comme les défenseurs des logiciels libres avec une grande sensibilisation à la sécurité

Qui est responsable de la sécurité des logiciels open source

cognition développeurs de leur sensibilisation à la sécurité vulnérabilités connues miroir 5.Docker
  • Chacun des dix défaut le plus populaire Docker dans le miroir contient au moins 30 bibliothèques système vulnérables
  • Après 44% le miroir de Docker peut réparer les vulnérabilités connues en mettant à jour l'étiquette d'image de base (balise image)

Dix populaires Docker en miroir le nombre de conditions de vulnérabilité

Le nombre de vulnérabilités des systèmes Linux continue de croître

Comparez le nombre de vulnérabilités et vulnérabilités de risque élevé d'urgence dans la bibliothèque système Les statistiques 6.Snyk
  • Seulement dans la deuxième moitié de 2018, Snyk ses utilisateurs ont ouvert plus de 70000 PR, à des vulnérabilités de correctif dans son projet
  • CVE / NVD Les bases de données de vulnérabilité publique et manque un certain nombre de défauts, 60% seulement Snyk suivi des données de vulnérabilité
  • Seulement en 2018, l'équipe de recherche professionnelle Snyk a révélé 500 vulnérabilités

 La communauté open source les gros titres de la CVMO sur un coup de pouce quotidien les derniers articles de haute qualité technique relatives à la traduction des langues étrangères, des mises à jour de logiciels et autres contenus premium de technologie blog. OSC préoccupé par le nombre global de la communauté open source, obtenir les dernières informations techniques tous les jours, cliquez sur le lien texte ci-dessous pour lire l'article original.

2019 Open Source Statut de sécurité Rapport d'enquête publié - Open Source Chine

Kadhafi et Saddam Hussein sont tombés l'un après l'autre, pourquoi Bachar est toujours forte? Peut-être pour cette raison
Précédent
Détourner la caméra de téléphone cellulaire Huawei P20 / P20 prix de sortie Pro de 3788 yuans
Prochain
Harbin navette d'affaires S1, ligne S2 étant ouvert et détaillé à regarder ce site
le plus au monde mystérieux de plusieurs forces spéciales: la force de la force bien au-delà des joints, mais peu de gens savent
voiture nuages Matin | Modèle 3 identifie le non-respect des coutumes détenus, vol Step Technology a publié une nouvelle puce du pilote automatique, la coopération ADI BYD pour construire un système
7988 yuans à vendre Huawei MateBook X Pro aujourd'hui officiellement publié en Chine
Et un téléphone mobile open source vient - WiPhone
Pouvez-vous devenir maître artisan Takumi? La nouvelle interprétation documentaire de l'ingéniosité japonaise de la route: 60.000 heures pour créer des compétences L'ARTISANAT consommé modèle
OFO co-fondateur de deux filiales officielles de sortie a déclaré que le Département de l'ajustement normale
Le conducteur a soudainement effondré tombent malades dans la cabine, tous les appels de la police d'aide 120
Les hélicoptères de combat pourquoi notre pays n'a pas été acheté? Les exigences techniques sont une qualité insuffisante ou mauvaise?
3788 yuans! Huawei P20 sortie State Bank: superbe apparence + trois caméra Leica classe dieu, parfait
mise à jour du logiciel Shu Dubbo recrute Tim écologique, Dubbo Administrateur v0.1 publié
Apple Samsung bras de fer sur les prix de l'écran OLED, la propagande poudre de fruits Cook: Le nouvel iPhone X moins cher