英国公司下载易受攻击的开源软件
UK Enterprise的普通Enterprise在过去的一年中下载了超过21,000个开源软件组件,仅在SONATYPE显示的数据中具有众所周知的漏洞。
根据英国业务下载的平均248,000个开源组件,2018年,已发现8.8%有人在全球12,000名企业开发公司的数据基础上有一个已知的安全缺陷。
报告称,出于英国公司下载的开源软件中的开源软件中的漏洞,30%的归类为至关重要,对软件安全构成严重风险。
报告称,这些调查结果是令人担忧的潜在弱势组件令人担忧的趋势,其中包括2018年的10个开源组件中的一个,其中包含了已知的安全漏洞。
只有超过一半的JavaScript包下载也有一个已知的缺陷,数据显示,展示了组织面临的挑战的规模。
该报告还审查了使用缺陷的Struts组件的公司的数量,负责额外八个其他主要机构的支撑和攻击。数据显示,在Equifax漏洞后12个月内下载缺陷的Struts组件的下载增加了11%,平均每月下载210万。
但是,该报告确定了突破性的编码实践,这些规范措施正在证明提供了显着减轻威胁。随着业务改善软件供应链管理,该研究结果还显示了从2017年八分之一的弱势下载略有下载到10分中的一个。
该报告显示,使用最新版本的开源分量依赖性的开发人员可以大大降低网络安全风险,这鉴于对敌人越来越多地瞄准开源组件的发现越来越重要。
该数据在过去五年中显示了开源相关漏洞的71%,24%的组织确认或涉嫌开源软件相关违规,并且15个事件突出了开源软件中的恶意代码注入的新攻击模式供应链。
这些数据显示,2018年的Java组件下载的开放源软件组件的供应和需求增加了68%至1460亿元,每天可供开发人员提供31,448名新开源发布,313,000年在研究的12,000家企业中下载开源软件下载。
但报告指出,并非所有开源项目都是平等的,只有295个开源项目,发现遵循最佳的安全编码实践,只有5%的项目在15天内修复安全漏洞。
报告称,顶级企业开发团队从软件供应链自动化中受益,导致使用易受攻击的开源组件的55%减少。这些团队有可能拥有自动化工具的可能性12倍以管理开源依赖项,并且积极地消除有问题或未使用的依赖项的可能性是9.3倍。
“我们有长期的建议业务,他们应该依赖最少数最少的开源组件供应商,具有最佳的曲目记录来发展最高质量和最低的风险软件,”Sonatype的首席执行官韦恩杰克逊说。
“对于通过更好的供应商选择,组件选择和自动化驯服他们的软件供应链的组织,今年报告中显示的奖励令人印象深刻。使用已知的脆弱的组分释放减少了55%。“
报告中的调查结果基于36,000个开源项目团队的分析,370万开源发布,12,000名商业工程团队和两次调查,综合参与6200多名发展专业人士。
报告结束后,速度不必以减少安全的成本,并指出,示例性开源项目举措从更高的代码提交和发布频率受益匪浅。
“他们也可以进行管理依赖项的杰出工作,”报告称,添加了企业中的示例是从支持使用最新组件版本的进程中受益,并且通常包含自动化实践以减少已知漏洞的存在。