状态机 开源
如果您想提高人们对保护开源软件安全性的意识,请参加“ 开源调查状态” 。
你问为什么为什么重要? 每年都会在多个生态系统中报告许多安全漏洞。 自2017年以来,这份报告一直是PyPi,Go(aka Golang),npm,Maven Central和PHP Packagist中的应用程序库中安全性关注的关注焦点。
对去年报告的分析显示,所有这些编程语言(Python,Go,Node.js,Java,PHP)中的漏洞Swift增长。 作为研究的一部分,我们转向社区,通过我们的“开源安全性状况”调查分享他们的观点。
![开源安全状况报告(State of State Source Report 2019)中按生态系统划分的漏洞图 Vulnerabilities by Ecosystem graph from State of Open Source Security 2019 Report](https://i-blog.csdnimg.cn/blog_migrate/b0e2138e990c105da071d6cd55a3bd25.png)
开源安全状况报告(State of State Source Report 2019)中按生态系统划分的漏洞图
在查看漏洞时,我们不仅要了解绝对数量,而且要了解被发现漏洞的严重性。 我们看到了一种令人鼓舞的趋势,其中报告的高中严重漏洞的比例向风险较低的中严重漏洞转移。
![开源安全状况报告(State of State 2019 Report)中按年度划分的漏洞严重度图表 Vulnerability severities by year graph from State of Open Source Security 2019 Report](https://i-blog.csdnimg.cn/blog_migrate/a0643b7d97976d2d0beb10e7162c0721.png)
但是,正如我们似乎开始改善安全状况并减少漏洞的严重性一样,总是出现新的攻击媒介,这就是为什么2019年的报告开始着眼于容器映像周围漏洞的一些关键趋势。
我们查看了Docker Hub上一些最受欢迎的映像中系统库中的已知漏洞。 我们发现平均漏洞数量很高,但尤其是这些映像中包含的Node.js库往往很容易受到攻击。 如果可以找到一线希望,那就是可以通过将基本映像替换为较不易受攻击的版本来修复44%的漏洞。
![开源安全状况2019报告中的OS漏洞图 OS Vulnerabilities graph from State of Open Source Security 2019 Report](https://i-blog.csdnimg.cn/blog_migrate/2f153c3dc5831a25796f286c42e28d9b.png)
了解整个开源生态系统的总体安全状态的另一个关键因素是了解维护人员解决报告的漏洞并提供修复所需的时间。 通过查看npm中一些最受欢迎的软件包,我们发现修复时间从289天到超过2,000天不等!
通过回应调查来发展安全性研究
您对本调查的答复有助于我们的团队更好地理解社区所面临的挑战并指导我们的研究,从而可以对所有开源软件的安全性改进进行更好的研究。 结合我们从平台以及合作伙伴那里收集和分析的数据,我们将再次向社区发布此免费报告。 今年,我们将重点放在容器,编排工具和作为代码的基础架构之类的云原生技术方面,以获取更多细节。
在这里进行调查,并感谢您为开源社区所做的每一件事。
状态机 开源