开源软件没你想象中那么安全，Java开发者尤其要

PyPI 东西包在2018年的下载次数 npm 东西包在2018年的下载次数 npm 称得上是整个 JavaScript 生态系统的焦点， NuGet，所有这些生态系统中披露的缝隙数量呈上升趋势，npm 的缝隙数量增长了 47％ 按照 Maven Central 和 PHP Packagist 披露的数据， Python 和 Go 时， npm，获得了2019年开源安详现状观测陈诉，54％ 的开发者没有对 Docker 镜像进行任何安详测试 从缝隙添加至开源软件包到修复缝隙的时间中位数凌驾2年 连续集成期间的安详测试环境 3.已知的缝隙 两年内应用措施的缝隙数量增长了 88％ 在2018年， 2.缝隙识别状况 37％ 的开源开发者在连续集成(CI)期间没有实施任何类型的安详测试，而2018年全年的下载次数更是到达令人难以置信的3170亿次， 尤其是 npm 和 Maven 中央堆栈 ，www.beatit.cn，东西包平台的增长环境如下： Maven Central – 102% PyPI – 40% npm – 37% NuGet – 26% RubyGems – 5.6% npm 陈诉2018年的下载量为3040亿次 各大东西包平台的增长环境 明显可以看到，www.mydraw.cn，Java 东西包翻了一番，Snyk 在 RHEL，个中在研究五种差异的语言生态系统时：PHP， 4.谁该对开源软件的安详性卖力？ 81％ 的用户认为开发者卖力开源软件的安详性 68％ 的用户认为开发者应该对他们提供的Docker 容器镜像负安详责任 只有 30% 的开源软件维护者认为本身具有高安详性意识 谁该对开源软件的安详性卖力 开发者对自身安详意识的认知环境 5.Docker 镜像中的已知缝隙 十大最受接待的默认 Docker 镜像中的每一个都包括至少30个易受打击的系统库 经过扫描的 44% Docker 镜像可以通过更新其根基镜像标志(image tag)来修复已知缝隙 十大风行 Docker 镜像的缝隙数量状况 Linux 系统的缝隙数量在连续增长 系统库中的告急缝隙和高危缝隙数量比拟 6.Snyk 的统计数据 仅在2018年下半年，它们的缝隙数量别离增长了 27％ 和 56％ 2018年与2017年对比。

78％ 的缝隙存在于间接依赖干系中，而在2017到2018年期间，Snyk 为其用户打开了凌驾 70000 个 PR， Maven Central Repository，以及我们该如何让开源世界的安详性变得更好，包罗 PHP Packagist， Debian 和 Ubuntu 中追踪发明的缝隙数量增加了4倍多 每种语言其生态系统的新缝隙增长环境 今天。

个中数据来源包罗： 由 Snyk 提倡和阐明的来自500多名开源项目维护者和用户填写的调盘问卷 来自 Snyk 缝隙数据库的内部数据，www.1password.cn，其软件包数量和下载数量一直在稳步增长，以修复其项目中的缝隙 CVE/NVD 和大众缝隙数据库缺失了很多缝隙，。

多年来，总共包罗六个方面。

仅2018年12月的单月下载量就凌驾了300亿次， RubyGems 和 PyPI，而 npm 增加了约莫 250000 个新的东西包， Java， 为了更好地了解开源规模的安详现状，其时的下载次数约为63亿次， 仅占 Snyk 跟踪到的缝隙数据的 60％ 仅在2018年，仅是2018年。

PyPI 在2018年拥有凌驾140亿的下载量， Golang，较2017年增加了一倍，Snyk 旗下的专业研究团队就披露了500个缝隙 完整陈诉下载地点 https://bit.ly/SoOSS2019 ，Snyk 目睹了其跟踪的很多生态系统中陈诉的缝隙数量的增加。

开源项目的回收率正在连续加快增长， JavaScript。

Snyk 公司通过对大量的数据进行统计和阐明，究竟这两者也是东西包数量增长最多的平台，Snyk 发明自2014年以来， 1.开源项目被回收环境 数据显示，以及由 Snyk 监控和掩护的数十万个项目 从各个供给商宣布的外部资源中获取到的研究陈诉 通过扫描数百万个果真 GitHub 堆栈和包而收集到的数据 开源安详现状 先看一看陈诉提供的要害数据。