JavaScript、Ruby 和 Java 是间接依赖中存在缺陷最多的生态系统。

开源项目中的绝大多数安全漏洞都存在于间接依赖关系中，而不是存在于直接加载的组件之中。

“汇总所有生态系统的数字后，我们发现间接依赖中存在的漏洞数量是直接依赖的三倍以上。”Snyk 的应用安全顾问 Alyssa Miller 在接受讨论 Snyk 的《 2020 年开源安全状况报告 》的采访时说。

该报告研究了漏洞如何影响 JavaScript（npm）、Ruby（RubyGems）、Java（MavenCentral）、PHP（Packagist）和Python（PyPI）生态系统。

Snyk 表示，项目内部加载的主要组件所依赖的依赖库，受到了 86% 的 JavaScript 安全漏洞、81% 的 Ruby 漏洞和 74% 的 Java 漏洞的影响。

Snyk 认为，公司在扫描他们的主要依赖项是否存在安全问题时，如果不能探索其完整依赖树的多个层次，会导致发布或最终运行容易受到不可预见的缺陷影响的产品。

但是，虽然安全缺陷在 JavaScript、Ruby 和 Java 中普遍存在，但在 PHP 和 Python 中却不是这样，绝大多数缺陷都存在于直接依赖关系（主要组件）中。当然，这是有原因的。

“老实说，我发现这更多取决于生态系统内部本身的开发方法。”Miller 说。“尤其是 Java 和 Node.js 项目，似乎比其他生态系统更重地利用了依赖性。特别是，当你看到 Node.js 生态系统的庞大规模时，从其他包构建或利用关键功能的包是非常正常的。”

“询问任何 Node.js 开发人员，他们都可能会遇到这样的事，即在 npm 试图拉取所有必要的依赖关系时，等待很长时间才能打开一个项目，”Miller 补充说。“我们最喜欢的一个例子是一个 80 行的 Java 应用程序，指定了 7 个依赖关系。然而，当你走完整个依赖树时，你会发现有 59 个子依赖，突然间，80 行代码变成了 74 万行。”

“正如我们喜欢给它起的绰号，这种‘陌生人的危险’，是一些重大安全漏洞的根本原因，也是造成软件供应链安全复杂化的关键原因，”Miller说。

少量的缺陷会造成了巨大的影响

但 Snyk 团队并不只是看这些缺陷在开源生态系统中的位置，还看它们是什么类型的缺陷。

另一个有趣的发现是，2019 年发现的大部分新安全漏洞都是跨站脚本（XSS）缺陷，尽管数量很多，但这些缺陷只影响了一小部分实际运行的项目。

相反，在去年发现的所有缺陷中，有二十几个原型污染缺陷的影响最大，影响了超过 11.5 万个不同的开源项目，可能还有更多的私有项目也受影响。其中，jQuery 和 LoDash 的原型污染缺陷影响最大，因为这些框架是目前应用最广泛的 JavaScript 开发工具集。