Snyk kısa süre önce, açık kaynaklı projeler için güvenlik hizmetleri sağlayan tanınmış bir şirket olan 2019 Açık Kaynak Güvenlik Durumu Anketi Raporunu yayınladı.
Önsöz
Açık kaynak alanının güvenlik durumunu ve açık kaynak dünyasının güvenliğini nasıl daha iyi hale getirebileceğimizi daha iyi anlamak için Snyk, 2019 açık kaynak güvenlik durum anket raporunu büyük miktarda verinin istatistikleri ve analizi yoluyla elde etti. Kaynaklar şunları içerir:
Snyk tarafından başlatılan ve analiz edilen 500'den fazla açık kaynak proje geliştiricisi ve kullanıcısı tarafından doldurulan anketler
Snyk güvenlik açığı veritabanından ve Snyk tarafından izlenen ve korunan yüz binlerce projeden dahili veriler
Çeşitli tedarikçiler tarafından yayınlanan dış kaynaklardan elde edilen araştırma raporları
Milyonlarca genel GitHub deposu ve paketi taranarak toplanan veriler
Açık kaynak güvenlik durumu
İlk olarak, rapor tarafından sağlanan ve toplamda altı yön içeren temel verilere bir göz atın.
1. Açık kaynaklı projelerin benimsenmesi
Veriler, güvenlik açıklarının% 78'inin dolaylı bağımlılıklarda bulunduğunu gösteriyor. 2017'den 2018'e kadar araç kiti platformunun büyümesi aşağıdaki gibidir:
Maven Central -% 102
PyPI -% 40
npm -% 37
NuGet -% 26
RubyGems -% 5,6
npm 2018'de 304 milyar indirme bildirdi
Başlıca araç takımı platformlarının büyümesiAçık kaynak kodlu projelerin benimsenme oranı hızlanmaya devam ediyor. Yalnızca 2018'de Java araç setleri iki katına çıktı ve npm yaklaşık 250.000 yeni araç takımı ekledi.
PyPI, indirme sayısının yaklaşık 6,3 milyar olduğu 2017'den iki katına çıkan 2018'de 14 milyardan fazla indirildi.
PyPI araç setinin 2018'deki indirmeleri 2018'de npm araç setinin indirilme sayısınpm, tüm JavaScript ekosisteminin çekirdeği olarak kabul edilebilir. Yıllar geçtikçe, yazılım paketlerinin ve indirmelerin sayısı istikrarlı bir şekilde artmaktadır.Sadece Aralık 2018'de, tek bir aydaki indirme sayısı 30 milyarı aştı ve 2018 boyunca indirme sayısı inanılmaz bir şekilde 317 milyara ulaştı. Zamanlar.
2. Güvenlik açığı tanımlama durumu
Açık kaynak geliştiricilerin% 37'si sürekli entegrasyon (CI) sırasında herhangi bir tür güvenlik testi uygulamadı ve geliştiricilerin% 54'ü Docker görüntüleri üzerinde herhangi bir güvenlik testi gerçekleştirmedi
Açık kaynak paketine bir güvenlik açığının eklenmesinden güvenlik açığının düzeltilmesine kadar geçen ortalama süre 2 yıldan fazladır
Sürekli entegrasyon sırasında güvenlik testi3. Bilinen güvenlik açıkları
Uygulamalardaki zafiyet sayısı iki yılda% 88 arttı
2018 yılında npm cinsinden güvenlik açıklarının sayısı% 47 arttı
Maven Central ve PHP Packagist tarafından açıklanan verilere göre, güvenlik açığı sayıları sırasıyla% 27 ve% 56 arttı
2017 ile karşılaştırıldığında, Snyk tarafından RHEL, Debian ve Ubuntu'da keşfedilen güvenlik açıklarının sayısı 2018'de 4 kattan fazla arttı.
Her dilin ekosisteminde yeni güvenlik açıklarının büyümesiBugün Snyk, PHP Packagist, Maven Central Repository, Golang, npm, NuGet, RubyGems ve PyPI dahil olmak üzere izlediği birçok ekosistemde bildirilen güvenlik açıklarının sayısında bir artışa tanık oluyor. Snyk, beş farklı dil ekosistemi üzerinde çalışırken: PHP, Java, JavaScript, Python ve Go, 2014 yılından bu yana tüm bu ekosistemlerde açıklanan güvenlik açıklarının sayısının artmakta olduğunu gördü. Özellikle npm ve Maven merkez depoları, sonuçta bu ikisi aynı zamanda araç kiti sayısında en büyük artışa sahip platformlardır.
4. Açık kaynak yazılımın güvenliğinden kim sorumludur?
Kullanıcıların% 81'i geliştiricilerin açık kaynak yazılımın güvenliğinden sorumlu olduğuna inanıyor
Kullanıcıların% 68'i, geliştiricilerin sağladıkları Docker kapsayıcı görüntülerinin güvenliğinden sorumlu olması gerektiğine inanıyor
Açık kaynak yazılım geliştiricilerinin yalnızca% 30'u yüksek güvenlik bilincine sahip olduklarına inanıyor
Açık kaynak yazılımın güvenliğinden kim sorumludur? Geliştiricilerin kendi güvenlik farkındalıkları konusundaki farkındalığı5. Docker görüntülerinde bilinen güvenlik açıkları
En popüler on varsayılan Docker görüntüsünün her biri en az 30 güvenlik açığı bulunan sistem kitaplığı içerir
Taranan Docker görüntülerinin% 44'ü, temel görüntü etiketlerini (görüntü etiketi) güncelleyerek bilinen güvenlik açıklarını düzeltebilir
En popüler on Docker görüntüsündeki güvenlik açıklarının sayısı Linux sistemlerindeki güvenlik açıklarının sayısı artmaya devam ediyor Sistem kitaplığındaki acil ve yüksek riskli güvenlik açıklarının sayısının karşılaştırılması6. Snyk istatistikleri
Yalnızca 2018'in ikinci yarısında Snyk, projelerinde güvenlik açıklarını düzeltmeleri için kullanıcılarının 70.000'den fazla PR açtı.
CVE / NVD ve genel güvenlik açığı veri tabanlarında pek çok güvenlik açığı eksiktir ve Snyk tarafından izlenen güvenlik açığı verilerinin yalnızca% 60'ını oluşturur
Yalnızca 2018'de, Snyk'in profesyonel araştırma ekibi 500 güvenlik açığını ortaya çıkardı
* Bu makalenin kaynağı: Açık Kaynak Çin, lütfen orijinal kaynağı belirtin