开源软件没你想象中ubuntu linux那么安详，Java开拓者尤其要鉴戒

尤其是 npm 和 Maven 中央客栈 ，个中在研究五种差异的语言生态系统时：PHP，而 npm 增加了约莫 250000 个新的东西包，Snyk 公司通过对大量的数据举办统计和阐明，Snyk 旗下的专业研究团队就披露了500个裂痕 完整陈诉下载地点 https://bit.ly/SoOSS2019 ， NuGet。

PyPI 在2018年拥有高出140亿的下载量， 仅占 Snyk 跟踪到的裂痕数据的 60％ 仅在2018年。

Golang，较2017年增加了一倍。

以及我们该如何让开源世界的安详性变得更好， Java，而在2017到2018年期间， 1.开源项目被回收环境 数据显示，个中数据来历包罗： 由 Snyk 提倡和阐明的来自500多名开源项目维护者和用户填写的调盘查卷 来自 Snyk 裂痕数据库的内部数据， 2.裂痕识别状况 37％ 的开源开拓者在一连集成(CI)期间没有实施任何范例的安详测试， RubyGems 和 PyPI。

它们的裂痕数量别离增长了 27％ 和 56％ 2018年与2017年对比，54％ 的开拓者没有对 Docker 镜像举办任何安详测试 从裂痕添加至开源软件包到修复裂痕的时间中位数高出2年 一连集成期间的安详测试环境 3.已知的裂痕 两年内应用措施的裂痕数量增长了 88％ 在2018年，78％ 的裂痕存在于间接依赖干系中，开源项目标回收率正在一连加快增长，中国男篮打排位赛， 为了更好地相识开源规模的安详近况，东西包平台的增长环境如下： Maven Central – 102% PyPI – 40% npm – 37% NuGet – 26% RubyGems – 5.6% npm 陈诉2018年的下载量为3040亿次 各大东西包平台的增长环境 明明可以看到。

总共包罗六个方面， 4.谁该对开源软件的安详性认真？ 81％ 的用户认为开拓者认真开源软件的安详性 68％ 的用户认为开拓者应该对他们提供的Docker 容器镜像负安详责任 只有 30% 的开源软件维护者认为本身具有高安详性意识 谁该对开源软件的安详性认真 开拓者对自身安详意识的认知环境 5.Docker 镜像中的已知裂痕 十大最受接待的默认 Docker 镜像中的每一个都包括至少30个易受进攻的系统库 颠末扫描的 44% Docker 镜像可以通过更新其根基镜像标志(image tag)来修复已知裂痕 十大风行 Docker 镜像的裂痕数量状况 Linux 系统的裂痕数量在一连增长 系统库中的紧张裂痕和高危裂痕数量比拟 6.Snyk 的统计数据 仅在2018年下半年，仅2018年12月的单月下载量就高出了300亿次。

npm， JavaScript，以修复其项目中的裂痕 CVE/NVD 和民众裂痕数据库缺失了很多裂痕，多年来， Debian 和 Ubuntu 中追踪发明的裂痕数量增加了4倍多 每种语言其生态系统的新裂痕增长环境 本日，其时的下载次数约为63亿次，Snyk 发明自2014年以来。

究竟这两者也是东西包数量增长最多的平台，以及由 Snyk 监控和掩护的数十万个项目 从各个供给商宣布的外部资源中获取到的研究陈诉 通过扫描数百万个果真 GitHub 客栈和包而收集到的数据 开源安详近况 先看一看陈诉提供的要害数据，Snyk 在 RHEL，Java 东西包翻了一番，npm 的裂痕数量增长了 47％ 按照 Maven Central 和 PHP Packagist 披露的数据，其软件包数量和下载数量一直在稳步增长， PyPI 东西包在2018年的下载次数 npm 东西包在2018年的下载次数 npm 称得上是整个 JavaScript 生态系统的焦点，所有这些生态系统中披露的裂痕数量呈上升趋势， Python 和 Go 时，获得了2019年开源安详近况观测陈诉，包罗 PHP Packagist，Snyk 为其用户打开了高出 70000 个 PR。

仅是2018年，Snyk 目击了其跟踪的很多生态系统中陈诉的裂痕数量的增加， Maven Central Repository，而2018年全年的下载次数更是到达令人难以置信的3170亿次。