2019年開源安全現狀調查報告發布
作者:局長
來源:開源中國(ID:oschina2013)
Snyk 今天發佈了2019年開源安全現狀調查報告,這是一家針對開源項目提供安全服務的知名公司。
前言
爲了更好地瞭解開源領域的安全現狀,以及我們該如何讓開源世界的安全性變得更好,Snyk 公司通過對大量的數據進行統計和分析,得到了2019年開源安全現狀調查報告,其中數據來源包括:
- 由 Snyk 發起和分析的來自500多名開源項目維護者和用戶填寫的調查問卷
- 來自 Snyk 漏洞數據庫的內部數據,以及由 Snyk 監控和保護的數十萬個項目
- 從各個供應商發佈的外部資源中獲取到的研究報告
- 通過掃描數百萬個公開 GitHub 倉庫和包而收集到的數據
開源安全現狀
先看一看報告提供的關鍵數據,總共包括六個方面。
1.開源項目被採用情況
數據顯示,78% 的漏洞存在於間接依賴關係中。而在2017到2018年期間,工具包平臺的增長情況如下:
- Maven Central – 102%
- PyPI – 40%
- npm – 37%
- NuGet – 26%
- RubyGems – 5.6%
- npm 報告2018年的下載量爲3040億次
各大工具包平臺的增長情況
明顯可以看到,開源項目的採用率正在持續加速增長。僅是2018年,Java 工具包翻了一番,而 npm 增加了大約 250000 個新的工具包。
PyPI 在2018年擁有超過140億的下載量,較2017年增加了一倍,當時的下載次數約爲63億次。
PyPI 工具包在2018年的下載次數
npm 工具包在2018年的下載次數
npm 稱得上是整個 JavaScript 生態系統的核心。多年來,其軟件包數量和下載數量一直在穩步增長,僅2018年12月的單月下載量就超過了300億次,而2018年全年的下載次數更是達到令人難以置信的3170億次。
2.漏洞識別狀況
- 37% 的開源開發者在持續集成(CI)期間沒有實施任何類型的安全測試,54% 的開發者沒有對 Docker 鏡像進行任何安全測試
- 從漏洞添加至開源軟件包到修復漏洞的時間中位數超過2年
持續集成期間的安全測試情況
3.已知的漏洞
- 兩年內應用程序的漏洞數量增長了 88%
- 在2018年,npm 的漏洞數量增長了 47%
- 根據 Maven Central 和 PHP Packagist 披露的數據,它們的漏洞數量分別增長了 27% 和 56%
- 2018年與2017年相比,Snyk 在 RHEL, Debian 和 Ubuntu 中追蹤發現的漏洞數量增加了4倍多
每種語言其生態系統的新漏洞增長情況
今天,Snyk 目睹了其跟蹤的許多生態系統中報告的漏洞數量的增加,包括 PHP Packagist, Maven Central Repository, Golang, npm, NuGet, RubyGems 和 PyPI。其中在研究五種不同的語言生態系統時:PHP, Java, JavaScript, Python 和 Go 時,Snyk 發現自2014年以來,所有這些生態系統中披露的漏洞數量呈上升趨勢。尤其是 npm 和 Maven 中央倉庫,畢竟這兩者也是工具包數量增長最多的平臺。
4.誰該對開源軟件的安全性負責?
- 81% 的用戶認爲開發者負責開源軟件的安全性
- 68% 的用戶認爲開發者應該對他們提供的 Docker 容器鏡像負安全責任
- 只有 30% 的開源軟件維護者認爲自己具有高安全性意識
誰該對開源軟件的安全性負責
開發者對自身安全意識的認知情況
5.Docker 鏡像中的已知漏洞
- 十大最受歡迎的默認 Docker 鏡像中的每一個都包含至少30個易受攻擊的系統庫
- 經過掃描的 44% Docker 鏡像可以通過更新其基本鏡像標記(image tag)來修復已知漏洞
十大流行 Docker 鏡像的漏洞數量狀況
Linux 系統的漏洞數量在持續增長
系統庫中的緊急漏洞和高危漏洞數量對比
6.Snyk 的統計數據
- 僅在2018年下半年,Snyk 爲其用戶打開了超過 70000 個 PR,以修復其項目中的漏洞
- CVE/NVD 和公共漏洞數據庫缺失了許多漏洞,僅佔 Snyk 跟蹤到的漏洞數據的 60%
- 僅在2018年,Snyk 旗下的專業研究團隊就披露了500個漏洞
開源正在蓬勃發展,而且並無減緩趨勢。雖然開源的好處人盡皆知,但是開源風險的知識卻不盡然。不過這種趨勢也正在發生變化。
顯然,開源領域的安全性有很大的改進空間,而且改進的機會也有很多。開源維護者們迫切希望讓自己的項目變得更加安全,而用戶想的是在使用開源軟件時將安全列爲優先考慮因素 —— 並認爲提升軟件安全性是一件舉手之勞的事。
但我們應認識到,保護開源的安全並不會在一夜之間發生。
正如本報告所述,開源安全決定於很多因素。但如果我們齊心協力,每個人都做出力所能及的事情來改進安全態勢,那麼我們就能夠改進開源安全的狀態,而且在這個改進過程中,我們要確保開源仍然是欣欣向榮充滿生機的生態系統。
完整報告下載地址 https://bit.ly/SoOSS2019