2019年開源安全現狀調查報告發布

作者：局長
來源：開源中國（ID：oschina2013）

Snyk 今天發佈了2019年開源安全現狀調查報告，這是一家針對開源項目提供安全服務的知名公司。

前言

爲了更好地瞭解開源領域的安全現狀，以及我們該如何讓開源世界的安全性變得更好，Snyk 公司通過對大量的數據進行統計和分析，得到了2019年開源安全現狀調查報告，其中數據來源包括：

由 Snyk 發起和分析的來自500多名開源項目維護者和用戶填寫的調查問卷
來自 Snyk 漏洞數據庫的內部數據，以及由 Snyk 監控和保護的數十萬個項目
從各個供應商發佈的外部資源中獲取到的研究報告
通過掃描數百萬個公開 GitHub 倉庫和包而收集到的數據

開源安全現狀

先看一看報告提供的關鍵數據，總共包括六個方面。

1.開源項目被採用情況

數據顯示，78％的漏洞存在於間接依賴關係中。而在2017到2018年期間，工具包平臺的增長情況如下：

Maven Central – 102%
PyPI – 40%
npm – 37%
NuGet – 26%
RubyGems – 5.6%
npm 報告2018年的下載量爲3040億次

各大工具包平臺的增長情況

明顯可以看到，開源項目的採用率正在持續加速增長。僅是2018年，Java 工具包翻了一番，而 npm 增加了大約 250000 個新的工具包。

PyPI 在2018年擁有超過140億的下載量，較2017年增加了一倍，當時的下載次數約爲63億次。

PyPI 工具包在2018年的下載次數

npm 工具包在2018年的下載次數

npm 稱得上是整個 JavaScript 生態系統的核心。多年來，其軟件包數量和下載數量一直在穩步增長，僅2018年12月的單月下載量就超過了300億次，而2018年全年的下載次數更是達到令人難以置信的3170億次。

2.漏洞識別狀況

37％的開源開發者在持續集成(CI)期間沒有實施任何類型的安全測試，54％的開發者沒有對 Docker 鏡像進行任何安全測試
從漏洞添加至開源軟件包到修復漏洞的時間中位數超過2年

持續集成期間的安全測試情況

3.已知的漏洞

兩年內應用程序的漏洞數量增長了 88％
在2018年，npm 的漏洞數量增長了 47％
根據 Maven Central 和 PHP Packagist 披露的數據，它們的漏洞數量分別增長了 27％和 56％
2018年與2017年相比，Snyk 在 RHEL, Debian 和 Ubuntu 中追蹤發現的漏洞數量增加了4倍多

每種語言其生態系統的新漏洞增長情況

今天，Snyk 目睹了其跟蹤的許多生態系統中報告的漏洞數量的增加，包括 PHP Packagist, Maven Central Repository, Golang, npm, NuGet, RubyGems 和 PyPI。其中在研究五種不同的語言生態系統時：PHP, Java, JavaScript, Python 和 Go 時，Snyk 發現自2014年以來，所有這些生態系統中披露的漏洞數量呈上升趨勢。尤其是 npm 和 Maven 中央倉庫，畢竟這兩者也是工具包數量增長最多的平臺。

4.誰該對開源軟件的安全性負責？