g u t x .com.tr İpek yolu - Çin'i anlamaya götürürüm

Snyk kısa süre önce, açık kaynaklı projeler için güvenlik hizmetleri sağlayan tanınmış bir şirket olan 2019 Açık Kaynak Güvenlik Durumu Anketi Raporunu yayınladı.

Önsöz

Açık kaynak alanının güvenlik durumunu ve açık kaynak dünyasının güvenliğini nasıl daha iyi hale getirebileceğimizi daha iyi anlamak için Snyk, 2019 açık kaynak güvenlik durum anket raporunu büyük miktarda verinin istatistikleri ve analizi yoluyla elde etti. Kaynaklar şunları içerir:

Snyk tarafından başlatılan ve analiz edilen 500'den fazla açık kaynak proje geliştiricisi ve kullanıcısı tarafından doldurulan anketler

Snyk güvenlik açığı veritabanından ve Snyk tarafından izlenen ve korunan yüz binlerce projeden dahili veriler

Çeşitli tedarikçiler tarafından yayınlanan dış kaynaklardan elde edilen araştırma raporları

Milyonlarca genel GitHub deposu ve paketi taranarak toplanan veriler

Açık kaynak güvenlik durumu

İlk olarak, rapor tarafından sağlanan ve toplamda altı yön içeren temel verilere bir göz atın.

1. Açık kaynaklı projelerin benimsenmesi

Veriler, güvenlik açıklarının% 78'inin dolaylı bağımlılıklarda bulunduğunu gösteriyor. 2017'den 2018'e kadar araç kiti platformunun büyümesi aşağıdaki gibidir:

Maven Central -% 102

PyPI -% 40

npm -% 37

NuGet -% 26

RubyGems -% 5,6

npm 2018'de 304 milyar indirme bildirdi

Başlıca araç takımı platformlarının büyümesi

Açık kaynak kodlu projelerin benimsenme oranı hızlanmaya devam ediyor. Yalnızca 2018'de Java araç setleri iki katına çıktı ve npm yaklaşık 250.000 yeni araç takımı ekledi.

PyPI, indirme sayısının yaklaşık 6,3 milyar olduğu 2017'den iki katına çıkan 2018'de 14 milyardan fazla indirildi.

PyPI araç setinin 2018'deki indirmeleri

2018'de npm araç setinin indirilme sayısı

npm, tüm JavaScript ekosisteminin çekirdeği olarak kabul edilebilir. Yıllar geçtikçe, yazılım paketlerinin ve indirmelerin sayısı istikrarlı bir şekilde artmaktadır.Sadece Aralık 2018'de, tek bir aydaki indirme sayısı 30 milyarı aştı ve 2018 boyunca indirme sayısı inanılmaz bir şekilde 317 milyara ulaştı. Zamanlar.

2. Güvenlik açığı tanımlama durumu

Açık kaynak geliştiricilerin% 37'si sürekli entegrasyon (CI) sırasında herhangi bir tür güvenlik testi uygulamadı ve geliştiricilerin% 54'ü Docker görüntüleri üzerinde herhangi bir güvenlik testi gerçekleştirmedi

Açık kaynak paketine bir güvenlik açığının eklenmesinden güvenlik açığının düzeltilmesine kadar geçen ortalama süre 2 yıldan fazladır

Sürekli entegrasyon sırasında güvenlik testi

3. Bilinen güvenlik açıkları

Uygulamalardaki zafiyet sayısı iki yılda% 88 arttı

2018 yılında npm cinsinden güvenlik açıklarının sayısı% 47 arttı

Maven Central ve PHP Packagist tarafından açıklanan verilere göre, güvenlik açığı sayıları sırasıyla% 27 ve% 56 arttı

2017 ile karşılaştırıldığında, Snyk tarafından RHEL, Debian ve Ubuntu'da keşfedilen güvenlik açıklarının sayısı 2018'de 4 kattan fazla arttı.

Her dilin ekosisteminde yeni güvenlik açıklarının büyümesi

Bugün Snyk, PHP Packagist, Maven Central Repository, Golang, npm, NuGet, RubyGems ve PyPI dahil olmak üzere izlediği birçok ekosistemde bildirilen güvenlik açıklarının sayısında bir artışa tanık oluyor. Snyk, beş farklı dil ekosistemi üzerinde çalışırken: PHP, Java, JavaScript, Python ve Go, 2014 yılından bu yana tüm bu ekosistemlerde açıklanan güvenlik açıklarının sayısının artmakta olduğunu gördü. Özellikle npm ve Maven merkez depoları, sonuçta bu ikisi aynı zamanda araç kiti sayısında en büyük artışa sahip platformlardır.

4. Açık kaynak yazılımın güvenliğinden kim sorumludur?

Kullanıcıların% 81'i geliştiricilerin açık kaynak yazılımın güvenliğinden sorumlu olduğuna inanıyor

Kullanıcıların% 68'i, geliştiricilerin sağladıkları Docker kapsayıcı görüntülerinin güvenliğinden sorumlu olması gerektiğine inanıyor

Açık kaynak yazılım geliştiricilerinin yalnızca% 30'u yüksek güvenlik bilincine sahip olduklarına inanıyor

Açık kaynak yazılımın güvenliğinden kim sorumludur?

Geliştiricilerin kendi güvenlik farkındalıkları konusundaki farkındalığı

5. Docker görüntülerinde bilinen güvenlik açıkları

En popüler on varsayılan Docker görüntüsünün her biri en az 30 güvenlik açığı bulunan sistem kitaplığı içerir

Taranan Docker görüntülerinin% 44'ü, temel görüntü etiketlerini (görüntü etiketi) güncelleyerek bilinen güvenlik açıklarını düzeltebilir

En popüler on Docker görüntüsündeki güvenlik açıklarının sayısı

Linux sistemlerindeki güvenlik açıklarının sayısı artmaya devam ediyor

Sistem kitaplığındaki acil ve yüksek riskli güvenlik açıklarının sayısının karşılaştırılması

6. Snyk istatistikleri

Yalnızca 2018'in ikinci yarısında Snyk, projelerinde güvenlik açıklarını düzeltmeleri için kullanıcılarının 70.000'den fazla PR açtı.

CVE / NVD ve genel güvenlik açığı veri tabanlarında pek çok güvenlik açığı eksiktir ve Snyk tarafından izlenen güvenlik açığı verilerinin yalnızca% 60'ını oluşturur

Yalnızca 2018'de, Snyk'in profesyonel araştırma ekibi 500 güvenlik açığını ortaya çıkardı

* Bu makalenin kaynağı: Açık Kaynak Çin, lütfen orijinal kaynağı belirtin

Buick yıl içinde tanıtıldı: genişletilmiş menzilli hibrit, 1.0T / 1.3T / 9AT

Gerçekçi gençlik filmi "Baharda" 15 Mart'ta gösterime girecek.

İnsan maymunlar aşkı sevemez. Chongqing, Youyang'daki bu vahşi maymunlar köylülerin evinde yaşar ve yemek yer.

NIKEiD, Air VaporMax için yeni bir özelleştirilmiş model başlattı, hava yastıklı dış taban öne çıkan bir özellik mi?

ABD hükümetinin baskısı altındaki Verizon, tüm Huawei cep telefonu satış planlarını terk etti

İlginç bir şifre sıfırlamayı hatırla

Bana neden diz çöküp karatahta gazetesini okuduğumu mu sordun? Çünkü çok harikalar!

Lüks iç mekana sahip Tesla Model X gazla dolu

Kashen, 4DX "Alita: Savaş Meleği" için çılgın çağrılar yaptı, savaş deneyiminin ruhu patladı

Rotor dirildi mi? Mazda'nın genişletilmiş program hibrit sistemi patentini ortaya çıkarın

Wang Yuan "Natsume's Book of Friends" filmini söylüyor Süper uzun şarkı adı Girls 'Day'i ısıtıyor

Kule profesyonel hanelerin sökülmesi, mobil fort Huang Zhong