Snyk今天发布了2019年开源安全状况报告,这是一家为开源项目提供安全服务的知名公司。为了更好的了解开源领域的安全状况,以及Snyk如何让开源世界的安全变得更好,Snyk通过对大量数据的统计和分析,发布了一份关于2019年开源安全状况的报告。
查看这份报告提供的关键数据,总共包括六个方面。
开源采用
2017年至2018年-索引包的增长
Maven Central - 102%
PyPI - 40%
npm - 37%
NuGet - 26%
RubyGems - 5.6%
npm报告称,2018年的下载量为3040亿次
78%的漏洞存在于间接依赖关系中
已知的漏洞
Docker镜像中的已知漏洞
最流行的10个Docker默认映像中,每个映像都包含至少30个易受攻击的系统库
通过扫描44%的Docker镜像可以更新其基本镜像标签来修复已知漏洞。
漏洞识别
37%的开源开发人员在CI期间不进行任何类型的安全测试,54%的开发人员不进行任何Docker镜像安全测试
从一个漏洞被添加到一个开源包到它被修复的中位时间超过2年
谁负责开源安全?
81%的用户认为开发人员对开源安全负责
68%的用户认为开发人员应该对Docker容器镜像的安全性负责
只有十分之三的开源维护者认为自己拥有高度的安全知识
Snyk统计数据
仅在2018年下半年,Snyk就为其用户打开了7万多个Pull request来修复他们项目中的漏洞
CVE/NVD和公共漏洞数据库错过了许多漏洞,仅占Snyk跟踪漏洞的60%
仅在2018年,Snyk专有的专门研究团队就披露了500个漏洞
你可以下载以下的PDF查看完整的报告。
PDF可以到Linux公社资源站下载:
------------------------------------------分割线------------------------------------------
具体下载目录在 /2019年资料/2月/28日/2019年开源安全状况报告:78%的漏洞存在于间接依赖关系中/
------------------------------------------分割线------------------------------------------
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx