Le logiciel libre est pas aussi s�r que vous pensez, les d�veloppeurs Java en particulier d'�tre alerte

Snyk a r�cemment publi� 2019 rapport Enqu�te sur la s�curit� open source, qui est une entreprise qui fournit des services de s�curit� pour les projets open source entreprises connues.

avant-propos

Afin de mieux comprendre l'�tat de l'open source dans le domaine de la s�curit�, et comment nous pouvons rendre le monde de la s�curit� open source meilleure, entreprise Snyk gr�ce � des statistiques et l'analyse de grandes quantit�s de donn�es, le statut open source quo 2019 Enqu�te sur la s�curit�, dans lequel les donn�es comprennent des sources:

Initi� par l'Snyk et l'analyse des questionnaires de plus de 500 mainteneurs de projets open source et les utilisateurs � remplir

Les donn�es internes de la base de donn�es de vuln�rabilit� Snyk, ainsi que des centaines de milliers de surveillance et de protection du projet par Snyk

Obtenu � partir de diff�rents fournisseurs et ressources externes aux recherches publi�es dans le rapport

Les donn�es recueillies par des millions d'analyse de d�p�t GitHub public et paquets

Open Source Situation de s�curit�

Regardez d'abord les donn�es cl�s fournies dans le rapport, y compris un total de six.

1. L'utilisation de projets open source est le cas

Les donn�es montrent que 78% de la vuln�rabilit� est dans les d�pendances indirectes. Et, la croissance des bo�tes � outils de la plate-forme sont au cours des ann�es 2017-2018 comme suit:

Maven Central - 102%

PyPI - 40%

npm - 37%

NuGet - 26%

RubyGems - 5,6%

rapport de NPM montant 2018 � 304 milliards de fois T�l�charger

La croissance de la grande plate-forme Kit

Clairement montre que le taux d'adoption des projets open source est d'acc�l�rer. Poursuit Seulement en 2018, Java bo�te � outils a doubl�, tandis que NPM ajout� environ 250000 nouveaux outils.

PyPI en 2018, a plus de 14 milliards de t�l�chargements, plus que doubl� par rapport � 2017, lorsqu'il est t�l�charg� environ 63 millions de fois.

bo�te � outils PyPI t�l�chargements 2018

bo�te � outils NPM t�l�chargements 2018

NPM consid�r� comme le cur de l'�cosyst�me JavaScript. Au fil des ans, le nombre de t�l�chargements et le nombre de colis a augment� de fa�on constante, seulement 2018 t�l�chargements mensuels en D�cembre � plus de 300 millions de fois, alors que le nombre de t�l�chargements de l'ann�e 2018 est d'atteindre un incroyable 317000000000 fois.

2. Le statut d'identification de la vuln�rabilit�

37% des d�veloppeurs open source ne mettent pas en uvre tout type de tests de s�curit� en mati�re d'int�gration continue (CI) pendant 54% des d�veloppeurs sans aucune image test de s�curit� Docker

Ajoutant � la vuln�rabilit� des logiciels open source de temps aux vuln�rabilit�s fix m�diane sur deux ans

La situation de la s�curit� lors des tests d'int�gration continue

3. vuln�rabilit�s connues

Le nombre de vuln�rabilit�s dans les deux ans de l'application d'une augmentation de 88%

En 2018, le nombre de vuln�rabilit�s NPM a augment� de 47%

Selon la divulgation Maven Central et PHP Packagist des donn�es, leur nombre de vuln�rabilit�s a augment� de 27% et 56%

2018 par rapport � 2017, le nombre de vuln�rabilit�s Snyk dans RHEL, Debian et Ubuntu chenill� D�couvert augment� de 4 fois

De nouvelles vuln�rabilit�s chaque langue sa croissance de l'�cosyst�me

Aujourd'hui, Snyk a connu une augmentation du nombre de vuln�rabilit�s dans un grand nombre de son �cosyst�me suivi dans le rapport, y compris PHP Packagist, Maven Central Repository, golang, NPM, NuGet, RubyGems et PyPI. Dans les �tudes o� cinq langues diff�rentes des �cosyst�mes: PHP, Java, JavaScript, Python et Go quand, Snyk a constat� que depuis 2014, le nombre de ces �cosyst�mes �taient toutes les vuln�rabilit�s divulgu�es � la hausse. Surtout NPM et d�p�t central Maven, apr�s tout, cet outil est � la fois le plus grand nombre de plate-forme de croissance des paquets.

4. Qui est responsable de la s�curit� des logiciels open source?

81% des utilisateurs pensent que les d�veloppeurs sont responsables de la s�curit� des logiciels open source

68% des utilisateurs pensent que les d�veloppeurs doivent leur fournir une image n�gative de la responsabilit� de la s�curit� des conteneurs Docker

Seulement 30% se consid�rent comme les d�fenseurs des logiciels libres avec une grande sensibilisation � la s�curit�

Qui est responsable de la s�curit� des logiciels open source

cognition d�veloppeurs de leur sensibilisation � la s�curit�

vuln�rabilit�s connues miroir 5.Docker

Chacun des dix d�faut le plus populaire Docker dans le miroir contient au moins 30 biblioth�ques syst�me vuln�rables

Apr�s 44% le miroir de Docker peut r�parer les vuln�rabilit�s connues en mettant � jour l'�tiquette d'image de base (balise image)

Dix populaires Docker en miroir le nombre de conditions de vuln�rabilit�

Le nombre de vuln�rabilit�s des syst�mes Linux continue de cro�tre

Comparez le nombre de vuln�rabilit�s et vuln�rabilit�s de risque �lev� d'urgence dans la biblioth�que syst�me

Les statistiques 6.Snyk

Seulement dans la deuxi�me moiti� de 2018, Snyk ses utilisateurs ont ouvert plus de 70000 PR, � des vuln�rabilit�s de correctif dans son projet

60% des bases de donn�es de vuln�rabilit� publique CVE / NVD et manque un certain nombre de d�fauts, ne Snyk suivi des donn�es de vuln�rabilit�

Seulement en 2018, l'�quipe de recherche professionnelle Snyk a r�v�l� 500 vuln�rabilit�s

* Cet article Source: Open Source Chine, s'il vous pla�t indiquer la source d'origine

Route de la soie

Apprenez � conna�tre la Chine

Le logiciel libre est pas aussi s�r que vous pensez, les d�veloppeurs Java en particulier d'�tre alerte