Besoin de sécurité destinés aux développeurs s’envole comme des failles de sécurité presque le Double en deux ans, Snyk rapport révèle

Londres, — Snyk, la solution leader pour automatiquement trouver et corriger les vulnérabilités dans les bibliothèques open source, sorti de son état d’Open Source sécurité rapport annuel pour 2019 aujourd’hui. L’étude constate une croissance rapide des vulnérabilités divulguées et fait état d’une augmentation de 88 % des vulnérabilités application bibliothèque, presque le double par rapport à il y a deux ans. Des projets open source qui contiennent des vulnérabilités, le rapport révèle que 78 % existent dans les dépendances indirectes et pas ceux tiré intentionnellement par les développeurs. Dépendances indirectes faire rechercher et de résoudre les vulnérabilités beaucoup plus complexes et chronophages.

Compte tenu de l’augmentation du nombre de vulnérabilités de source ouverte et la complexité de leur fixation, il y a un besoin urgent pour les développeurs prendre en charge de la sécurité de leur application. Selon le rapport, plus de 80 % des développeurs ont indiqué qu’ils croient qu’ils soient responsables de la sécurité de leur code source ouvert. Pourtant, seuls 30 % taux de leurs propres connaissances sécurité est « Élevé », qui confirme un manque de connaissances dans leur capacité à effectivement propre sécurité au cours du processus de développement.

« Le rapport souligne que le plus grand défi qu’open source sécurité visages est le volume croissant des vulnérabilités et la complexité de fixation indirectes vulnérabilités trouvées dans les dépendances de l’open source, » a dit Guy Podjarny, fondateur et CEO de Snyk. « En tant qu’application développement devient plus rapide et plus d’affaires critiques, il est important que les développeurs consommant ou en open source de création intégrer outillage de sécurité et de pratiques dans leurs flux de travail de développement existant. »

Selon Gartner, d’ici à 2020, plus de 50 pour cent des entreprises utilisera technologie de conteneur, de moins de 20 % en 2017. Rapport de Snyk montre que, parallèlement à cette croissance, de nombreuses organisations se battent encore pour lutter contre la sécurité des conteneurs, révélant que des vulnérabilités dans RHEL, Debian et Ubuntu est passé de 2018 en quatre volets, comparativement à 2017. Recherche de Snyk a également constaté que les top dix plus populaires images par défaut Docker, chacun d’entre eux contenue au moins 30 versions de la bibliothèque système vulnérable. L’image officielle de Node.js a la plupart, livrant une image en 580 bibliothèques système vulnérable installés.

En outre, le rapport révèle que 44 % des analyses d’image Docker avait su vulnérabilités pour lesquels il existe des mises à niveau de l’image de base plus récente et plus sécuritaire disponible.

L’état d’ouvrir Source sécurité rapport annuel publié par Snyk se compose des données rassemblées dans un récent sondage de centaines de développeurs open source et de soutiens ; données de registres d’application grand public, bibliothèque datasets et GitHub référentiels ; et vulnérabilité complète base de données de Snyk, qui est en permanence en tirant dans les données de centaines de milliers de projets, surveillées et protégées par Snyk.

Autres notables d’après le rapport, mentionnons :

Responsabilité de sécurité de l’application

• Adoption de sécurité outil manque clairement avec seulement 35 % des répondants confirmant qu’ils utilisent une gestion de la dépendance ou l’outil d’analyse pour aider les vulnérabilités de la surfaces.
• Près de la moitié des mainteneurs OpenSource (48 %) Découvrez des vulnérabilités dans leur code seulement lorsque quelqu’un ouvre une affaire publique.

Sécurité Open Source

• En 2018, divulgations pour Packagist, le dépôt de paquets PHP public, a augmenté de 56 pour cent ; et Maven Central a augmenté de 27 pour cent. Bien que Golang est un écosystème plus petit, sa recherche sur la sécurité ont entraîné une croissance de 52 % dans nouvelles vulnérabilités découvertes en 2018.

Fixation des vulnérabilités

• 84 % des état de mainteneurs de libres qu’ils sont susceptibles de répondre à un problème de sécurité en moins d’une semaine. Seulement 22 % des répondants ont dit qu’ils peuvent traiter un incident signalé en quelques heures.
• En revanche, les développeurs, qui sont les consommateurs de projets open source, doivent encore adopter ces corrections et nouveautés pour sécuriser leurs applications. Cependant :
• près d’un tiers d’état répondants (27 %), qu’ils souvent ne jamais connaître les vulnérabilités dans leurs dépendances, augmentant le risque et ralentir d’assainissement.
• 37 % des développeurs open source n’implémentent pas toute sorte de tests au cours de la CI de sécurité.
• Des bibliothèques analysés dans le rapport, le plus rapide temps-à-fix de quand la vulnérabilité existe dans le code source a été un peu plus de 9 mois. La médiane temps-à-fix a été presque 2,5 ans, montrant qu’il faut beaucoup de temps à la surface et corriger les vulnérabilités dans les environnements open source.

Sur Snyk
Snyk est une solution de sécurité développeur d’abord qui aide les organisations à utiliser open source et rester sécurisé.  Snyk est la seule solution qui parfaitement et de manière proactive détecte et corrige les vulnérabilités et les violations de licence dans les dépendances de l’open source et les images de Docker. La solution Snyk intègre sa base de données complète de vulnérabilité exclusive maintenu par son équipe de recherche expert sécurité à Israël et à Londres. Avec une intégration étroite dans les workflows existants de développeur, le contrôle de code source (y compris GitHub, BitBucket, GitLab) et les pipelines de CI/CD, Snyk des workflows de sécurité efficace et réduit la moyenne-temps-à-fix.

Cliquez ici pour plus d'informations