手机版
你好,游客 登录 注册
背景:
阅读新闻

2019年开源安全状况报告:78%的漏洞存在于间接依赖关系中

[日期:2019-02-28] 来源:Linux公社  作者:醉落红尘 [字体: ]

Snyk今天发布了2019年开源安全状况报告,这是一家为开源项目提供安全服务的知名公司。为了更好的了解开源领域的安全状况,以及Snyk如何让开源世界的安全变得更好,Snyk通过对大量数据的统计和分析,发布了一份关于2019年开源安全状况的报告。

2019年开源安全状况报告:78%的漏洞存在于间接依赖关系中

查看这份报告提供的关键数据,总共包括六个方面。

开源采用

  • 2017年至2018年-索引包的增长
    • Maven Central - 102%
    • PyPI - 40%
    • npm - 37%
    • NuGet - 26%
    • RubyGems - 5.6%
  • npm报告称,2018年的下载量为3040亿次
  • 78%的漏洞存在于间接依赖关系中

已知的漏洞

  • 应用程序漏洞在两年内增长了88%
  • 2018年,npm的漏洞增长了47%。 Maven Central和PHP Packagist的信息披露分别增长了27%和56%
  • 在2018年,我们追踪到的RHEL、Debian和Ubuntu漏洞是2017年的4倍多

Docker镜像中的已知漏洞

  • 最流行的10个Docker默认映像中,每个映像都包含至少30个易受攻击的系统库
  • 通过扫描44%的Docker镜像可以更新其基本镜像标签来修复已知漏洞。

漏洞识别

  • 37%的开源开发人员在CI期间不进行任何类型的安全测试,54%的开发人员不进行任何Docker镜像安全测试
  • 从一个漏洞被添加到一个开源包到它被修复的中位时间超过2年

谁负责开源安全?

  • 81%的用户认为开发人员对开源安全负责
  • 68%的用户认为开发人员应该对Docker容器镜像的安全性负责
  • 只有十分之三的开源维护者认为自己拥有高度的安全知识

Snyk统计数据

  • 仅在2018年下半年,Snyk就为其用户打开了7万多个Pull request来修复他们项目中的漏洞
  • CVE/NVD和公共漏洞数据库错过了许多漏洞,仅占Snyk跟踪漏洞的60%
  • 仅在2018年,Snyk专有的专门研究团队就披露了500个漏洞

你可以下载以下的PDF查看完整的报告。

PDF可以到Linux公社资源站下载:

------------------------------------------分割线------------------------------------------

免费下载地址在 http://linux.linuxidc.com/

用户名与密码都是www.linuxidc.com

具体下载目录在 /2019年资料/2月/28日/2019年开源安全状况报告:78%的漏洞存在于间接依赖关系中/

下载方法见 http://www.linuxidc.com/Linux/2013-07/87684.htm

------------------------------------------分割线------------------------------------------

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-02/157175.htm

linux
相关资讯       开源安全状况  开源安全 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款