编辑 | 甜梨

几年前，“开源”还是点点星火，如今已成燎原之势。在过去的 2018 年，企业都在积极加强自己在开源方面的实力，IBM 大手笔 340 亿美元收购了 RedHat，微软 75 亿美元收购了 GitHub。

开源软件蓬勃发展的同时，安全漏洞风险也在增加。SNYK 不仅向 500 多名开源用户和维护人员分发了调查报告，同时也监控了 SNYK 内部监控和保护的数十万个项目的漏洞数据，并结合外部研究，发布了 2019 年开源安全状况报告。

首先，我们先来看几个关键性结论：

2017 年到 2018 年，包管理工具索引的开源包数量呈爆炸式增长，其中 Maven Central 增长了 102%，PyPI 增长了 40%，NPM 增长了 37%，NuGet 增长了 26%，RubyGems 增长了 5.6%。

应用程序的漏洞在短短两年的时间内增加了 88%，其中 SNYK 跟踪的 Rhel、Debian 和 Ubuntu 的漏洞数量，2018 年是 2017 年的四倍多。

最受欢迎的默认 Docker 映像 Top 10 中的每一个都至少包含 30 个易受攻击的系统库，其中 44% 可以通过更新 Docker 映像来修复已知漏洞。

调查显示，37% 的开源开发人员在 CI 期间不会进行任何的安全测试，54% 的开发人员不会进行 Docker 映像的安全测试，而从漏洞出现在开源包中到漏洞修复的时间可能会超过两年。

调查显示，81% 的调查者认为开发人员应该负责开源安全，68% 的调查者认为开发人员应承担 Docker 容器镜像的安全；但只有十分之三的开源维护人员认为自己应该具备较高的安全知识。

开源应用

开源软件对现代软件开发产生了深远的影响，并且这种影响力还在每年递增。据 GitHub 报告称，2018 年新用户的注册量超过了之前六年的总和，且平台上创建的新组织和新存储库增加了 40%。另外，开源软件同时也推动了语言和平台的发展，影响了行业增长，Forrester 报告称，开源软件是业务技术战略的重要组成部分。

前文我们曾提到，科技公司都在大量使用开源，每个编程语言生态系统中都有越来越多的开源库被索引，且有的增长率实现了两位数，甚至是三位数的增长（Maven Central 实现了 102% 的三位数增长。）

开源的使用正走在高速路上，2018 年 Java 包增加了一倍，NPM 增加了大约 250000 个新包。

据 Linux 基金会报告称，2018 年开源贡献者提交了超过 310 亿行的代码，这些代码一旦要在实际的生产环境中使用，那么拥有、维护和使用此代码的人就必须承担一定的责任，规避风险。

据 CVE 列表报告显示，2017 年总共有 14000+ 个漏洞，打破了 CVE 一年内报告的漏洞记录，而 2018 年，漏洞数量继续上升，超过了 16000 个。

我们在调查中关注了不同生态中不同软件包的下载数量，同时也关注了这些开源软件包如何转化为用户采用。

根据 Python 注册表显示，PYPI 在 2018 年的下载量超过 140 亿，相比于 2017 年报告中的 63 亿，下载量增加了一倍。从下表中我们可以看到在 8 月份的时候，下载量出现了激增的情况，这是由于 LineHaul（PYPI 的统计收集服务）出现故障造成的，该故障导致在 8 月之前大半的下载量丢失。

另外，开源软件消费也取得了巨大的飞跃，从 PYPI 中下载 python 包的数量是原来的两倍，从 NPM 下载 javascript 包的数量更是惊人，达到 3170 亿个。

NPM 注册表是整个 JavaScript 生态系统的核心。在过去的几年中，无论是添加还是下载的软件包数量都稳步增，仅 2018 年 12 月的一个月时间就有 300 多亿次。

而 Docker 的采用也促进了开源软件的增长，据悉，Docker 公司在 2018 年每两周就有超过 10 亿个容器下载，截止到目前，数量约有 500 亿个。仅 2018 年一年就有超过 100 万个新的应用程序添加到 Docker Hub 中。

风险和影响

而伴随着软件包数量的增加，是漏洞的增加，前文我们提到了 2018 年新漏洞数量再创新高，超过 16000 个。

在 GitHub 发布的 Octoverse 报告中，Security 成为了最受欢迎的项目集成应用程序。而 Gartner 的行业分析师在最近的一份应用程序安全报告中也表示企业应该在应用程序生命周期中尽早测试安全性。

开源软件使用的越多，代码中自然就包含了更多其他人的代码，累积的风险就会越大，因为这些代码目前或者是将来可能会包含漏洞。当然，这里的风险并不单单是指代码的安全性，同时也包括了所采用代码的许可以及该代码是否违反了许可证本身。

在接受调查的受访者中，43% 至少有 20 个直接依赖关系，这无疑就需要增强对这些引入库的源码的监控。而事实上，只有三分之一的开发人员可以在一天或更少的时间内解决严重性漏洞。

“企业应定期使用 SCA 工具来审计包含软件资产（如版本控制和配置管理系统）的存储库，以确保企业开发和使用的软件符合安全和法律标准、规则和法规。另外，应用程序开发人员也可以使用 SCA 工具来检查他们计划使用的组件。

如今，没有开源依赖的情况下写代码几乎是不可能完成的任务，所以正确跟踪所依赖的库就成为了一个难题。采取何种措施才能既消除漏洞，同时还能保持依赖项之间的兼容性？

NPM、Maven 和 Ruby 中的大多数依赖项都是间接依赖项，由少数明确定义的库请求。在调查中，Snyk 扫描了 100 多万个快照项目，发现间接依赖项中的漏洞占整个漏洞的 78%，这说明我们需要进一步增强对依赖树的洞察，并突出脆弱路径的细微差别。

开源维护者的安全状况

虽然在大多数开发人员和维护人员都认同在构建产品和编写代码时，安全性是非常重要的，但是对他们而言，在构建开源项目时没有“教科书式”的规则可供他们参考，因此安全标准可能有很大的不同。

在今年的调查中，大部分用户（平均每 10 个用户中就有 6.6 个）都将他们的安全技术选择在中等水平，7% 的受访者认为目前的安全技术水平较低。

相应的专业知识排名，2019 年的排名发生了一些变化，尤其是 High 和 Low，其中 High 占据了 30%，Medium 占据了 63%，而 low 占据了 7%，而在 2017 年，High 只占了 17%，low 占了 26%。在调查过程中，我们还发现了维护人员通常都会将时间和经历放在项目的功能性方面，而往往忽视了安全性。

安全审计

安全审计作为代码审查的一部分，其中需要双方确保遵循安全代码最佳实践，或者采取另一种方式，即通过运行不同的安全审计变体，如静态或动态应用程序安全测试。

无论是手动审计还是自动审计，它们都是检测和减少应用程序中漏洞的重要组成部分，并且应该在开发阶段尽可能早地定期执行，以降低后期暴露和数据泄露的风险。

去年，有 44% 的受访者表示他们从未进行过安全审计，而今年，这一数字要低得多，只有 26% 的用户表示他们没有审计源码。与去年的报告相比，今年重复审计也呈现出了积极的趋势，以季度和年度为单位，有 10% 的用户会经常的审计代码。

点个好看少个 bug

THE END

免责声明：本文来自腾讯新闻客户端自媒体，不代表腾讯网的观点和立场。

图片来源@视觉中国

文｜师天浩

小程序BATT格局已经形成，2019年或还将有其他互联网公司加入，但腾讯、阿里、百度、头条四强地位无法撼动，因为它们占据了中国移动互联网7成以上使用时长。作为超级APP内生的生态，用户的依赖程度决定了超级APP在小程序混战中话语权。

微信占据先发优势，在小程序之争中率先突围，阿里、百度也紧跟其后，头条虽在赛道中落子，却并未进行大规模的推广。

目前，微信、支付宝、百度APP都已开启“补贴”模式，2018年9月3年支付宝成立小程序事业部，并计划在未来3年投入10亿创新基金，助力开发者和商家深入升级各类服务场景；同年12月百度成立智能小程序开源联盟，拿出10亿人民币创新基金投资有商业潜力的开发者和中小企业；今年1月9日，腾讯宣布推出小程序云开发10亿资源扶持计划。

BAT在小程序上开始加注，作为超级APP内生的“连接生态”，基因的不同将决定各自小程序生态的差异性。

微信小程序：分享为王的“修罗场”

微信小程序具备先发优势，又拥有中国移动互联网最大的流量池，各项数据都超过其他玩家。根据QuestMobile数据显示，截至2018年底，微信人均单日使用时长同比增加近6分钟，考虑到微信超过7.5亿DAU，相当于总体时长每天增加约7500万小时；其中小程序贡献巨大，MAU大于500万的小程序数量超过209个。

数据来源：QuestMobile中国移动互联网2018年度大报告

根据年初微信官方公布的数据显示，目前小程序已覆盖超过200个细分行业，2018年小程序服务超过1000亿人次用户，年交易增长超过600，创造了超过5000亿的商业价值。结合QuestMobile数据我们会发现，微信小程序呈现着极强的头部效应，除了209个MAU大于500万的玩家，其他玩家并没有分食到太多的红利。

这同微信本身的基因有关，作为中国最大的移动社交平台，其内部流行非常依赖社交裂变传播。根据酷鹅用户研究院发布的《2019年微信小程序用户行为研究报告》数据显示，截至2018年底，微信用户经常使用的小程序类型为小游戏、生活服务、内容资讯、网络购物等，占比分别达到42%、39%、28%、28%。

用户更爱去分享的小游戏排名第一，同生活息息相关的生活服务小程序排名第二，经常会拿出折扣或代金券激励用户去分享的网络购物排名与内容资讯并列第三。

数据来源：《2019年微信小程序用户行为研究报告》

另外该报告还对使用小程序的途径进行了统计，微信聊天主界面下拉栏排名第一，占比为44%；而朋友圈分享名列第二，占比为40%；主动搜索排名第五，占比仅为27%，附近的小程序排名倒数第二，占比为14%。

其实微信聊天主界面下拉栏默认的是用户已使用过的小程序，如果把下拉栏的排除掉，可以发现朋友圈分享仍旧是用户接触小程序的主要入口。也就是说，在微信生态里，更容易和分享机制融合的小程序更易走红。

这种强烈依赖社交分享的传播方式，有几个劣势，一是用户常常会被朋友圈里的新小程序吸引注意力，无法真正的留存下来；二是这种竞争将会一直持续，以购物类小程序而言，折扣拼团将是常态，一旦放弃“补贴”，对于用户的吸引力就会大幅度下降，然后用户就会被其他坚持做折扣拼团的竞争对手抢夺走。

根据《界面》的一篇报道透露，截至2018年底微信小程序的“明星”黑咖相机，日活已经逐渐从年初（2018）峰值的1000多万掉到了现在的不到100万。黑咖相机负责人姜文一表示，这种流失在小程序领域只能算是正常。

“小程序真的留不住用户。”猎鹰创投董事总经理李圆峰也有类似的困惑，他用一个抽奖类小程序做例子，“你通过朋友圈分享的链接进入了这个小程序，他就把你计入成他的用户了，但其实第二天你还会回来吗？”其实，这是分享传播的弱点，需要小程序团队不断的刺激用户，否则非常容易被其他后来竞争者夺走。

虽然如此，但在微信这个生态里，分享仍然是核心拉新的手段。作为占据到国民每天80分钟以上使用时长的流量平台，微信小程序去中心化的传播模式，对新入局者友好，但在留新上却是天然弱势。况且张小龙一直强调小程序的用完即走，对于想要深耕小程序的企业和团队而言，并不是什么好事情。

因此许多公司将微信小程序作为跳板，许多小程序包括拼多多在内，都在使用利益诱导、功能解锁等方式“强迫”用户转而现在APP，这种逃离将是微信小程序上的常态。微信生态中，容易引发分享的小程序将更适合这个生态，游戏、购物天然具备的裂变属性，将是最大的想象空间。

支付宝小程序：线下服务的机会

支付宝小程序推出相比微信小程序较晚，而且在流量上同后者也没有可比性。相比于微信平台小程序的多元，支付宝上对于购物类、生活服务类小程序的开放程度将远远低于前者，因为阿里本身就有淘宝、天猫两大电商平台，在生活服务方面也早早布子口碑、饿了么、飞猪与淘票票等产品。而因为APP使用场景所限，小游戏等娱乐类小程序的空间也很值得商榷。

在支付宝最近公布的数据中，支付宝小程序的总用户数超过了5亿，日活跃用户达到了1.7亿，春节期间的峰值甚至一度达到了2.8亿。从数据上看，支付宝小程序似乎同微信小程序处在伯仲之间。虽然在平台多元性上有弱势，支付宝在基因上同微信有一个明显的优势，那就是支付宝APP场景更为聚焦。

用户在支付宝上的使用习惯相比微信也更简单直接。时至今日，支付宝不再是简单的支付工具，已成为用户处理支付、生活服务、政务服务、社交、理财、保险、公益等服务的一个重要平台。

在线上购物方面，支付宝同淘宝和天猫已经深度打通，因此购物类平台型小程序几乎可以说同支付宝无缘，不过预测未来支付宝小程序或会向品牌商旗舰店进行开放。反过来说，线下场景成为支付宝小程序最具想象的空间，支付宝本身支付工具属性也有利于同线下的结合。

相比于微信提供巨大的流量池供小程序开发者自己去挖掘市场，支付宝为小程序则带来围绕支付生态的一些加持。支付宝能为小程序提供花呗和芝麻信用，不过这些数据只开放给与支付行为相关的小程序。例如，借充电宝免押金、借共享单车免押金等等。

2月26日，支付宝小程序正式面向个人开发者开放公测，具体到类目，个人开发者目前可在支付宝平台上开发包括餐饮、体育、旅游、快递与邮政、个人技能等6个一级分类以及20多个二级分类的小程序。在功能上，个人主体账号暂不支持支付功能。

资本方对于支付宝上小程序投资选择上，也呈现出这个差异，支付宝上万能小哥、人人租机、附近家政以及企迈云商、非码科技等一批线下生活服务紧密相关的小程序项目，在2018年下半年均获得不同额度的融资。

中小线下实体商业都不具备足够的资本与人力打造独立的APP，因此小程序对于它们而言是分享移动互联网红利的珍贵机会。

微信小程序在最早也是定位同线下商业进行连接，即使因为“跳一跳”带火了微信小程序，在打通线下生活服务方面依然是微信小程序未来的重点，但附近小程序入口使用率倒数第二证明，在这方面微信还有很长的路要走。用户结构更纯粹的支付宝小程序生态更适合与线下生活服务的打通，内在基因同出行、餐饮、快销、景区、酒店、物流、医疗和车服务等行业都有很好的融合的切入点。

不过，支付宝小程序的缺点也非常明显，在不适合支付宝交易基因的产品，在支付宝的平台上很难有大的作为。

百度智能小程序：注重用户体验者为王

相比于微信上庞大并需求复杂的流量，以及支付宝庞大的移动支付用户。百度的优势在于用户较为明确的目的性，当用户在使用百度搜索时都旨在为了解决生活上某个问题，这一基因为百度智能小程序的走向奠定基础。

据百度官方数据显示，目前，百度智能小程序的服务已经深入到政策民生、娱乐、资讯等23个大行业，覆盖262个细分领域，月活用户超过了1.5亿。可以看出来，无论是小程序数量还是月活用户，同微信与支付宝都有不小的差距。

为了补足自身流量上的劣势，2018年12月20日，百度与12家企业签约成立“开源联盟”，首批联盟成员包括爱奇艺、bilibili、快手、墨迹天气、携程、万年历、58同城、百度地图、好看视频、DuerOS等十多个App和平台。

百度APP发力小程序与微信、支付宝面临的问题截然不同，在微信和支付宝上需要培育小程序用户去使用习惯，因为这是从0到1的一个过程。而百度搜索一直是用户用来解决问题的工具，百度引导用户去使用小程序并没有习惯上的阻碍。不过，各大互联网企业自有的wap网站却同百度智能小程序产生冲突。

百度智能小程序首先面临着wap网站的竞争，例如我们使用百度搜索“携程”，携程wap网站同小程序一同出现在结果列表里。在百度上每日庞大的搜索行为都可以促成小程序转化，不过前提条件时百度智能小程序如何能够在体验上优于企业自身原有的wap网站，否则两者就会左右互搏。

如果说，微信同支付宝上数万小程序，是用户在APP内使用其他服务的唯一选择。而在百度APP上一些大众互联网产品，在百度搜索框里本来就能搜索到移动网站，百度智能小程序并非用户的唯一选择。因此百度智能小程序要在用户体验深耕，才能引导更多的用户沉淀在百度智能小程序上，而不是被移动网页所分流。

要承认的是，在小程序整个生态的构建上百度弱势最多，例如说流量短板，账户体系、支付体系以及信用体系的缺失。这些劣势对于百度智能小程序向连接万物所延伸时，是一种不小的阻力。不过，百度在AI技术方面的多年积累，为百度智能小程序带来可以差异化超过微信、支付宝的能力。

此外，百度在搜索大数据上的积累对于小程序精准推荐有着无以比拟的利好，如何更精准的将小程序同用户搜索的内容匹配起来，是百度智能小程序能够在体验上超越微信、支付宝的武器。

百度所具备的信息流优势则是百度智能小程序的加分项，就像今日头条并未大力开拓小程序一样，信息流用户更多的需求是获取资讯，在小程序转化上并不占据优势，简单的在图文内容下方设置小程序入口的商业意义有限，如何结合内容与小程序还有很多问题需要解决。

小程序已成为用户在超级APP上连接世界的重要入口，然而超级APP不同的基因属性，也决定了其平台上小程序生态的相异。

未来我们在微信、支付宝、百度APP甚至今日头条、抖音上都将连接不同的小程序，对于企业而言，也要开始分析不同APP的基因调性，差异化的去布局小程序。

作为用户而言，未来我们与线下连接将会越来越频繁和复杂，只在一家超级APP里解决所有连接问题也不现实。各类小程序生态会因为所附庸的平台基因不同而呈现差异化，况且BAT出于竞争目的也会有选择性的开放“小程序”，因此未来将有N家小程序平台，为不同的人群属性提供不同的服务，未来BAT及头条系旗下的小程序生态将分别连接不同的世界。

THE END

免责声明：本文来自腾讯新闻客户端自媒体，不代表腾讯网的观点和立场。

科技先生2月27日讯，近日，联想董事长杨元庆公开怼折叠屏，称不如联想3年前发布的概念，更表示这价格都够买几台平板了。继杨元庆怒怼折叠屏后，苹果也发声了！但态度却完全不一样。

苹果联合创始人斯蒂夫·沃兹尼亚克在接受采访时承认苹果公司在折叠屏机手机技术上已经落后。

他说：“苹果在指纹解锁、面部识别和手机支付等几个领域一直处于领先地位。但在可折叠屏幕领域，苹果不是领先者。这让我很担心，因为我真的很想要一部可折叠屏幕手机。”

沃兹尼亚克认为，苹果一直都会给人惊喜，在背后研究很多东西。这次在折叠屏领域落后或许是因为iPhone太成功了，以至于很长一段时间以来它成为了苹果的全部业务。

最近有新闻报道，苹果在之前也申请了一个铰链的专利，显然苹果也是会推出折叠屏手机的。

根据之前的报道，因为折叠屏手机是一个比较重头的产品，而且极有可能采用京东方的屏幕。搭载的芯片必然是苹果最好的芯片。而苹果最新、最好的芯片得到2020年才能出来，这也符合苹果的一贯作风。

苹果向来不是一个紧追热点的企业。

西安软件开发、西安APP开发、西安软件外包、西安软件开发、西安网站建设、电商软件开发、社交软件开发、直播软件开发、西安网站制作、西安区块链开发

THE END

免责声明：本文来自腾讯新闻客户端自媒体，不代表腾讯网的观点和立场。

连日来，一款“刷脸”测面相的应用火了——只要扫码上传一张本人照片，几十秒后系统便可生成一份包括面相概述、五官评分以及运势介绍的报告。不过，随着越来越多网友加入相面大军，“信息被盗用”的质疑也在朋友圈不胫而走。

刷脸测面相、付费拿运程，如此“算命”岂能轻信？且不说仅凭“眼睛大小、鼻子高低”判断一个人的命运起伏本就纯属娱乐，很多网友在实测中也发现同一张照片在两个手机的测试结果大相径庭。更诡异的是，这款“占卜神器”在报告生成前强制要求获取用户包括地区、性别等在内的全部公开信息，甚至在扫码后还三番五次要求确认是本人照片。如此操作，难免给人盗用个人信息之嫌，有专家在采访中忧心忡忡地表示：这些漏洞丛生的算命程序，或许就是不法商家为收集数据而开发的“钓鱼软件”。

这般提醒，绝非虚言。随着大数据时代来临，用户信息泄露大有升级之势。如果说以前不法商家采集贩卖的多是居民身份证号、电话号码等“社会信息”，如今人脸、指纹、虹膜等生物信息早已成为各方觊觎的新“唐僧肉”。特别是数据泄露引发的风险，二者更不可同日而语。毕竟，社会信息失守至多引来诈骗电话、精准营销围追堵截，用户不堪其扰还可屏蔽了之。但生物信息作为自然人身份不可更改的唯一标识，一旦被突破往往没有补救空间，造成的负效应也会呈指数扩散。不久前深圳一家科技公司还被曝出面部识别数据库遭泄露，舆论在惊呼的同时也对“人脸安全”产生了深层次担忧。

类似事件接二连三，无疑凸显出数据安全保护的紧迫性。这也提醒我们，面对那些动辄要求上传照片、授权信息的应用程序，还需擦亮眼睛、多留心眼。当然，守护数据安全光靠消费者提升认知还不够，依法而治必不可少。目前，网络安全法已经实施，法律对数据保护、使用等也做出规定，但从实际来看，我国对信息泄露的处罚还是太轻，在实操中人们对数据的定义还局限于“身份证号”等社会信息，对生物信息采集、使用、保护等规范远没有达成共识。唯有与时俱进细化法规、加大惩戒力度，捍卫用户隐私权才不会是一句空话。

随着技术突飞猛进，人类很快会进入“刷脸”时代。如何在享受技术便利的同时守住“生物密码”最后防线，将是决定互联网长远发展的关键。这一点，各方尤须审慎思之。

来源： 北京日报 范荣

流程编辑：RB013

西安软件开发、西安APP开发、西安软件外包、西安软件开发、西安网站建设、电商软件开发、社交软件开发、直播软件开发、西安网站制作、西安区块链开发

THE END

免责声明：本文来自腾讯新闻客户端自媒体，不代表腾讯网的观点和立场。