總結(jié):2019 年熱門開源項(xiàng)目中的漏洞增加了一倍以上

白開水不加糖
報(bào)告結(jié)果表明,這些開源軟件中的總漏洞數(shù)在 2019 年增加了一倍以上, 從 2018 年的 421 個(gè)增長到了去年的 968 個(gè)。并指出,將開源軟件漏洞添加到國家漏洞數(shù)據(jù)庫(NVD)所需的時(shí)間非常長,從公開披露到包含,平均需要 54 天。

RiskSense 發(fā)布了一份新報(bào)告,該報(bào)告提供了有關(guān)目前熱門的開源軟件中漏洞的深入發(fā)現(xiàn),其中包括武器化漏洞數(shù)、哪種軟件最容易受到威脅、攻擊的最主要類型等內(nèi)容。

該報(bào)告并沒有包含 Linux、WordPress、Drupal 等這些經(jīng)常受到監(jiān)控的超級(jí)流行項(xiàng)目。而是觀察了一些對(duì)大眾來說并不是很知名,但卻被技術(shù)和軟件社區(qū)廣泛采用的其他熱門開源項(xiàng)目,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。

RiskSense 查看了 50 個(gè)最受歡迎的開源軟件項(xiàng)目,發(fā)現(xiàn):

漏洞涵蓋了從開發(fā)/測(cè)試、編排、容器以及工作負(fù)荷之內(nèi)的現(xiàn)代開發(fā)的所有階段

開源正以前所未有的速度產(chǎn)生新的漏洞

國家漏洞數(shù)據(jù)庫(NVD)列表在開源軟件漏洞方面很落后-特別是對(duì)于那些具有最高 CVSS 嚴(yán)重性的漏洞。

報(bào)告結(jié)果表明,這些開源軟件中的總漏洞數(shù)在 2019 年增加了一倍以上, 從 2018 年的 421 個(gè)增長到了去年的 968 個(gè)。并指出,將開源軟件漏洞添加到國家漏洞數(shù)據(jù)庫(NVD)所需的時(shí)間非常長,從公開披露到包含,平均需要 54 天。這種延遲可能導(dǎo)致組織在近兩個(gè)月的時(shí)間內(nèi)仍面臨嚴(yán)重的應(yīng)用程序安全風(fēng)險(xiǎn)。且這種長時(shí)間的延遲存在于在所有級(jí)別的漏洞上,包括被評(píng)為“嚴(yán)重”的漏洞和已被武器化的漏洞。

RiskSense 首席執(zhí)行官 Srinivas Mukkamala 表示:“雖然開源代碼因?yàn)槭墙?jīng)過眾包審查以發(fā)現(xiàn)問題,通常被認(rèn)為比商業(yè)軟件更安全,但這項(xiàng)研究表明開源軟件漏洞正在上升,并且可能成為許多組織的盲點(diǎn)。” “由于開源代碼在當(dāng)今到處都有使用和重用,一旦發(fā)現(xiàn)漏洞,它們將產(chǎn)生難以置信的深遠(yuǎn)影響。”

其他發(fā)現(xiàn)包括有,Jenkins 自動(dòng)化服務(wù)器總體上擁有最多的 CVE,數(shù)量為 646。緊隨其后的是 MySQL,數(shù)量為 624。同時(shí),這兩個(gè)開源軟件項(xiàng)目的武器化漏洞也各占 15 個(gè)。相比之下,HashiCorp 的 Vagrant 總共只有 9 個(gè) CVE,但是其中包含了 6 個(gè)武器化漏洞。

此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 也都存在著一些流行漏洞。而跨站點(diǎn)腳本(XSS)和輸入驗(yàn)證漏洞則是該研究中最常見和武器化程度最高的漏洞之一。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論