Snyk 針對開源軟件中漏洞的研究報告顯示，發現新漏洞的數量下降了五分之一。

Snyk 是專門發現和修復開源代碼中漏洞的工具，其近日的研究顯示在開源軟件中發現的新漏洞數量同比下降了 20%，但被發現的漏洞大都很嚴重。

Synk 的程序安全推動者 Alyssa Miller 表示，隨着程序開發者對安全的意識日益增加，漏洞的數量也在逐漸下降。但同時，只要是人類寫的代碼，難免會存在安全問題。最新的研究顯示，越來越多的開發人員將漏洞掃描工具內嵌在開發流程中，這樣可以在代碼進入生產環境前就發現其中的漏洞，開源軟件的安全性有望繼續改善。

Snyk 對五百名開發者、安全從業者和 IT 運營人員進行了調查，結合 Snyk 在開源軟件中的掃描數據。發現當前影響最大的漏洞是原型污染，在所有接受調查的項目中有 27% 的項目被發現修改了 JavaScript 程序中的對象。

此外，XSS 等漏洞仍然在報告中大量出現，但 Snyk 認爲實際上受此類漏洞影響的項目並不多。Miller 表示，相比於鮮爲人知的漏洞，這些出名的漏洞似乎可以被更早的發現和修復。

該報告指出，發現的大多數漏洞都影響使用如 Node Package Manager（86%）、Ruby（81%）、Java（74%）等構建程序的間接依賴關係，調查還發現有 60% 的組織沒有完全釐清軟件的依賴關係樹。

調查發現有超過 30% 的人不檢查 Kubernetes 清單中的不安全配置。不僅如此，Kubernetes 中與安全相關的資源控制也沒有被廣泛採納。許多標記爲

final

的容器鏡像包含大量已知漏洞。

調查發現有 57% 的受訪者已經實施了靜態代碼分析工具（SAST），隨後採用了安全測試用例的佔 28%。

實施了動態程序安全測試（DAST）的佔 20%、軟件組成分析佔 19%、威脅建模佔 19%。

儘管開發過程中對安全工具的依賴程度相對較低，但隨着 DevOps 和安全團隊之間更加緊密的協作，越來越多的安全工具也會被集成到 DevOps 中，應用程序的安全性可以得到更好的保障。

相關文章