Snyk a récemment publié 2019 rapport Enquête sur la sécurité open source, qui est une entreprise qui fournit des services de sécurité pour les projets open source entreprises connues.
avant-propos
Afin de mieux comprendre l'état de l'open source dans le domaine de la sécurité, et comment nous pouvons rendre le monde de la sécurité open source meilleure, entreprise Snyk grâce à des statistiques et l'analyse de grandes quantités de données, le statut open source quo 2019 Enquête sur la sécurité, dans lequel les données comprennent des sources:
Initié par l'Snyk et l'analyse des questionnaires de plus de 500 mainteneurs de projets open source et les utilisateurs à remplir
Les données internes de la base de données de vulnérabilité Snyk, ainsi que des centaines de milliers de surveillance et de protection du projet par Snyk
Obtenu à partir de différents fournisseurs et ressources externes aux recherches publiées dans le rapport
Les données recueillies par des millions d'analyse de dépôt GitHub public et paquets
Open Source Situation de sécurité
Regardez d'abord les données clés fournies dans le rapport, y compris un total de six.
1. L'utilisation de projets open source est le cas
Les données montrent que 78% de la vulnérabilité est dans les dépendances indirectes. Et, la croissance des boîtes à outils de la plate-forme sont au cours des années 2017-2018 comme suit:
Maven Central - 102%
PyPI - 40%
npm - 37%
NuGet - 26%
RubyGems - 5,6%
rapport de NPM montant 2018 à 304 milliards de fois Télécharger
La croissance de la grande plate-forme KitClairement montre que le taux d'adoption des projets open source est d'accélérer. Poursuit Seulement en 2018, Java boîte à outils a doublé, tandis que NPM ajouté environ 250000 nouveaux outils.
PyPI en 2018, a plus de 14 milliards de téléchargements, plus que doublé par rapport à 2017, lorsqu'il est téléchargé environ 63 millions de fois.
boîte à outils PyPI téléchargements 2018 boîte à outils NPM téléchargements 2018NPM considéré comme le cur de l'écosystème JavaScript. Au fil des ans, le nombre de téléchargements et le nombre de colis a augmenté de façon constante, seulement 2018 téléchargements mensuels en Décembre à plus de 300 millions de fois, alors que le nombre de téléchargements de l'année 2018 est d'atteindre un incroyable 317000000000 fois.
2. Le statut d'identification de la vulnérabilité
37% des développeurs open source ne mettent pas en uvre tout type de tests de sécurité en matière d'intégration continue (CI) pendant 54% des développeurs sans aucune image test de sécurité Docker
Ajoutant à la vulnérabilité des logiciels open source de temps aux vulnérabilités fix médiane sur deux ans
La situation de la sécurité lors des tests d'intégration continue3. vulnérabilités connues
Le nombre de vulnérabilités dans les deux ans de l'application d'une augmentation de 88%
En 2018, le nombre de vulnérabilités NPM a augmenté de 47%
Selon la divulgation Maven Central et PHP Packagist des données, leur nombre de vulnérabilités a augmenté de 27% et 56%
2018 par rapport à 2017, le nombre de vulnérabilités Snyk dans RHEL, Debian et Ubuntu chenillé Découvert augmenté de 4 fois
De nouvelles vulnérabilités chaque langue sa croissance de l'écosystèmeAujourd'hui, Snyk a connu une augmentation du nombre de vulnérabilités dans un grand nombre de son écosystème suivi dans le rapport, y compris PHP Packagist, Maven Central Repository, golang, NPM, NuGet, RubyGems et PyPI. Dans les études où cinq langues différentes des écosystèmes: PHP, Java, JavaScript, Python et Go quand, Snyk a constaté que depuis 2014, le nombre de ces écosystèmes étaient toutes les vulnérabilités divulguées à la hausse. Surtout NPM et dépôt central Maven, après tout, cet outil est à la fois le plus grand nombre de plate-forme de croissance des paquets.
4. Qui est responsable de la sécurité des logiciels open source?
81% des utilisateurs pensent que les développeurs sont responsables de la sécurité des logiciels open source
68% des utilisateurs pensent que les développeurs doivent leur fournir une image négative de la responsabilité de la sécurité des conteneurs Docker
Seulement 30% se considèrent comme les défenseurs des logiciels libres avec une grande sensibilisation à la sécurité
Qui est responsable de la sécurité des logiciels open source cognition développeurs de leur sensibilisation à la sécuritévulnérabilités connues miroir 5.Docker
Chacun des dix défaut le plus populaire Docker dans le miroir contient au moins 30 bibliothèques système vulnérables
Après 44% le miroir de Docker peut réparer les vulnérabilités connues en mettant à jour l'étiquette d'image de base (balise image)
Dix populaires Docker en miroir le nombre de conditions de vulnérabilité Le nombre de vulnérabilités des systèmes Linux continue de croître Comparez le nombre de vulnérabilités et vulnérabilités de risque élevé d'urgence dans la bibliothèque systèmeLes statistiques 6.Snyk
Seulement dans la deuxième moitié de 2018, Snyk ses utilisateurs ont ouvert plus de 70000 PR, à des vulnérabilités de correctif dans son projet
60% des bases de données de vulnérabilité publique CVE / NVD et manque un certain nombre de défauts, ne Snyk suivi des données de vulnérabilité
Seulement en 2018, l'équipe de recherche professionnelle Snyk a révélé 500 vulnérabilités
* Cet article Source: Open Source Chine, s'il vous plaît indiquer la source d'origine