最新公告
  • 欢迎您光临欧资源网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 2018年开源安全状况报告:IBM大手笔340亿美元收购RedHat

    几年前,“开源”还只是个小星星,现在却变成了燎原。在刚刚过去的 2018 年,企业一直在积极加强自己在开源方面的实力,IBM 以 340 亿美元收购了 RedHat,微软以 75 亿美元收购了 GitHub。

    在开源软件蓬勃发展的同时,安全漏洞的风险也随之增加。SNYK 不仅向 500 多名开源用户和维护者分发了调查报告,还监测了 SNYK 内部监控和保护的数十万个项目的漏洞数据,并结合外部研究发布了 2019 年开源安全状况报告。

    首先,让我们看一些关键结论:

    从 2017 年到 2018 年,包管理工具索引的开源包数量呈爆炸式增长,Maven Central 增长 102%,PyPI 增长 40%,NPM 增长 37%,NuGet 增长 26%,RubyGems 增长 5.6% . 应用程序中的漏洞在短短两年内增加了 88%,与 2017 年相比,SNYK 跟踪的 Rhel、Debian 和 Ubuntu 漏洞数量在 2018 年翻了两番。前 10 个最受欢迎的默认 Docker 映像中的每一个都包含至少 30 个易受攻击的系统库,其中 44% 可以通过更新 Docker 镜像来修复已知漏洞。调查显示,37% 的开源开发者在 CI 期间没有进行任何安全测试,54% 的开发者没有对 Docker 镜像进行安全测试,而从开源包中出现漏洞到修复漏洞的时间,可能需要两年多的时间。调查显示,81%的受访者认为开发者应对开源安全负责,68%的受访者认为开发者应对Docker容器镜像的安全负责;但只有十分之三的开源维护者认为他们应该具备较高的安全知识。开源应用程序

    开源软件对现代软件开发产生了深远的影响,而且它的影响每年都在增加。根据 GitHub 报告,2018 年的新用户注册量超过了前六年的总和,平台上创建的新组织和新存储库增加了 40%。此外,开源软件还推动语言和平台开发,影响行业增长,Forrester 报告称开源软件是业务技术战略的重要组成部分。

    前面我们提到,科技公司大量使用开源,越来越多的开源库被索引到各个编程语言生态系统中,有的已经实现了两位数甚至三位数的增长率。增长(Maven Central 实现了 102% 的三位数增长。)

    开源的使用在高速发展,Java 包在 2018 年翻了一番,NPM 增加了大约 250,000 个新包。

    根据 Linux 基金会的报告,开源贡献者在 2018 年提交了超过 310 亿行代码,一旦代码用于实际生产环境,拥有、维护和使用代码的人必须承担一定的责任。规避风险。

    根据 CVE List 报告,2017 年漏洞总数超过 14000 个,打破了 CVE 一年内报告的漏洞记录,2018 年漏洞数量继续上升,超过 16000 个。

    在我们的调查中,我们研究了不同生态系统中不同软件包的下载次数,以及这些开源软件包如何转化为用户采用。

    根据 Python Registry 的数据,2018 年 PYPI 的下载量超过 140 亿次,是 2017 年报告的 63 亿次下载量的两倍。从下表中我们可以看到,8 月份出现了下载量的激增,这是由于 LineHaul 的故障造成的(PYPI 的统计收集服务),导致 8 月之前的大部分下载丢失。.

    此外,开源软件的消费量也有了巨大的飞跃,从 PYPI 下载的 python 包数量翻了一番,从 NPM 下载的 javascript 包数量达到了惊人的 3170 亿个。

    NPM 注册表是整个 JavaScript 生态系统的核心。在过去几年中,添加和下载的软件包数量稳步增长源代码有什么用,仅在 2018 年 12 月,点击量就超过 300 亿次。

    Docker 的采用也促进了开源软件的发展。据悉,Docker 在 2018 年每两周下载超过 10 亿个容器,截至目前,这个数字约为 500 亿个。仅 2018 年就有超过 100 万个新应用程序添加到 Docker Hub。

    风险和影响

    随着软件包数量的增加,漏洞也随之增加。前面我们提到,2018 年新增漏洞数量再创新高,超过 16000 个。

    在 GitHub 发布的 Octoverse 报告中,Security 是最受欢迎的项目集成应用。而Gartner的行业分析师在最近的一份应用安全报告中也表示,企业应该在应用生命周期的早期测试安全。

    开源软件使用得越多,代码中自然包含的其他人代码就越多,累积的风险也越大,因为那个代码现在或将来都可能包含漏洞。当然,这里的风险不仅仅是代码的安全性,还有所使用代码的许可证以及代码是否违反许可证本身。

    在调查的受访者中,43% 的人至少有 20 个直接依赖项,这无疑需要加强对这些导入库的源代码的监控。事实上,只有三分之一的开发人员可以在一天或更短的时间内解决严重的错误。

    “企业应定期使用 SCA 工具对包含版本控制和配置管理系统等软件资产的存储库进行审计,以确保企业开发和使用的软件符合安全和法律标准、规则和法规。此外,应用程序开发人员还可以使用 SCA 工具来检查他们计划使用的组件。

    如今,编写没有开源依赖项的代码几乎是不可能的,因此跟踪您依赖的库可能是一个挑战。可以采取哪些步骤来消除漏洞,同时保持依赖关系之间的兼容性?

    NPM、Maven 和 Ruby 中的大多数依赖项都是间接依赖项,由少数定义明确的库请求。在调查中,Snyk 扫描了超过 100 万个快照项目,发现间接依赖中的漏洞占总漏洞的 78%,这表明我们需要进一步增强对依赖树的洞察力,并突出易受攻击路径的细微差别。

    开源维护者的安全态势

    虽然大多数开发人员和维护人员都同意在构建产品和编写代码时安全性非常重要,但在构建开源项目时并没有可供他们参考的“教科书”规则,因此安全标准可能会有很大差异。

    在今年的调查中,大多数用户(平均6.6 / 10)认为他们的安全技术处于中等水平,7% 的受访者认为目前的安全技术水平相对较低。

    对应的专业排名,2019年排名出现了一些变化,尤其是High和Low,High占比30%,Medium占比63%,Low占比7%源代码有什么用,而2017年High仅占17% ,低占26%。

    在我们的调查中,我们还发现维护人员经常将他们的时间和经验集中在项目的功能方面,而常常忽略安全性。

    安全审计

    安全审计作为代码审查的一部分执行,双方都需要确保遵循安全代码最佳实践,或者通过运行不同的安全审计变体,例如静态或动态应用程序安全测试。

    无论是手动还是自动,它们都是检测和减少应用程序漏洞的重要组成部分,应在开发阶段尽早定期执行,以降低以后暴露和数据泄露的风险。

    去年,44% 的受访者表示他们从未进行过安全审计,而今年这一数字要低得多,只有 26% 的用户表示他们没有审计过源代码。与去年的报告相比,今年的重复审计也呈现出积极的趋势,有 10% 的用户在季度和年度的基础上频繁地审计代码。

    站内大部分资源收集于网络,若侵犯了您的合法权益,请联系我们删除!
    欧资源网 » 2018年开源安全状况报告:IBM大手笔340亿美元收购RedHat

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    欧资源网
    一个高级程序员模板开发平台

    发表评论