开源也不安全，2018年RHELDebian和Ubuntu漏洞是2017年的4倍多

Posted 2021-04-25 Linux公社

Snyk发布了2019年开源安全状况报告，这是一家为开源项目提供安全服务的知名公司。为了更好的了解开源领域的安全状况，以及Snyk如何让开源世界的安全变得更好，Snyk通过对大量数据的统计和分析，发布了一份关于2019年开源安全状况的报告。

查看这份报告提供的关键数据，总共包括六个方面。

开源采用

• 2017年至2018年-索引包的增长

• Maven Central - 102%

• PyPI - 40%

• npm - 37%

• NuGet - 26%

• RubyGems - 5.6%

• npm报告称，2018年的下载量为3040亿次

• 78％的漏洞存在于间接依赖关系中

已知的漏洞

• 应用程序漏洞在两年内增长了88%

• 2018年，npm的漏洞增长了47％。 Maven Central和php Packagist的信息披露分别增长了27％和56％

• 在2018年，我们追踪到的RHEL、Debian和Ubuntu漏洞是2017年的4倍多

Docker镜像中的已知漏洞

• 最流行的10个Docker默认映像中，每个映像都包含至少30个易受攻击的系统库

• 通过扫描44%的Docker镜像可以更新其基本镜像标签来修复已知漏洞。

漏洞识别

• 37%的开源开发人员在CI期间不进行任何类型的安全测试，54%的开发人员不进行任何Docker镜像安全测试

• 从一个漏洞被添加到一个开源包到它被修复的中位时间超过2年

谁负责开源安全?

• 81%的用户认为开发人员对开源安全负责

• 68%的用户认为开发人员应该对Docker容器镜像的安全性负责

• 只有十分之三的开源维护者认为自己拥有高度的安全知识

Snyk统计数据

• 仅在2018年下半年，Snyk就为其用户打开了7万多个Pull request来修复他们项目中的漏洞

• CVE/NVD和公共漏洞数据库错过了许多漏洞，仅占Snyk跟踪漏洞的60％

• 仅在2018年，Snyk专有的专门研究团队就披露了500个漏洞

你可以查看原文链接下载PDF查看完整的报告。

Linux公社的RSS地址：https://www.linuxidc.com/rssFeed.aspx

喜欢就给我一个好看 吧 ↓↓↓