开源软件安全现状报告：2017代码漏洞激增创历史新高

作者：张霖
2017年11月17日
下载, 动态

根据IT经理网此前发布过的Veracode 2017年软件安全报告，如今一个软件中平均75%的软件代码都来自开源组件！但这些开源组件中的漏洞也带来了巨大的安全风险。

近年来，来自开源组件和开源代码的安全威胁呈几何级数增长，严重威胁到信息安全“上游水源地”——安全开发和代码安全，根据安全公司Snyk发布的开源软件安全现状报告，2012年以来，每年公布的开源软件漏洞都在快速增长，2017年全年同比增幅创下历史新高：

Snyk的开源软件安全现状报告报告扫描了数以百万计的Github代码库和程序包，调查了超过500个开源项目的维护者，为我们首次揭示了全球开源生态的安全现状和发展趋势，并对开源软件安全的改进提出了建设性意见，报告中的一些亮点如下：

80-90%的商业软件开发者在应用中使用了开源代码组件，全球的机构和垂直行业用户都在使用开源代码开发应用。
只有16.8%的开源项目维护者自认为有较高的信息安全技术和意识。
接近半数的开源项目维护者从来不审计代码，只有11%的维护者能做到每季度审核代码。
开源软件漏洞产生到发现公布的平均时间周期为2.89年
75%的漏洞都没有被项目维护者发现
79.5%的开源项目维护者都没有公开的漏洞公布策略（导致极低的漏洞汇报率）

完整报告下载：

无处不在的威胁：开源软件安全现状报告（2017年） 235.98 KB 24 downloads

...


第一时间获取面向IT决策者的独家深度资讯，敬请关注IT经理网微信号：ctociocom


   除非注明，本站文章均为原创或编译，未经许可严禁转载。


相关文章：


                    未知的未知：九大模糊测试工具
                                      安全开发的引爆点：安全独角兽Code Warrior获巨额投资
                                      开源有毒：企业信息安全需要借助欺骗技术
                                      企业应用开发：iOS安全性一定胜过Android吗？
                                      谷歌发布保密计算开源框架：Asylo
                                      七个免费的APP应用安全测试工具
                                      虽然Devops 可以提升效率，但也增加了IT攻击面
                                      无处不在的开源组件漏洞风险：Veracode发布2017年软件安全报告
                  



标签： 代码安全, 代码审查, 安全开发, 开发安全, 开源代码安全