2019 年热门开源项目的安全漏洞增加一倍

云栖号资讯:【点击查看更多行业资讯】
在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来!

近日,安全公司 RiskSense com.cn/tag/%e5%8f%91%e5%b8%83" target="_blank">发布了一份名为“The Dark Reality of Open Sourc= 0 H g Q 4e" 的报告。通过分析 54 个热门开源项目,这家公司发现这些开源项目中的安全漏洞数量在 2019 年增加一倍,从T f v N = 1 V 7 2018 年的 421 个漏洞增加至 2019 年的 968 个。

据悉,该报* m m 8 w q E告并不包括 Linux、WordPress、Drupal 等超级流行的免费工具项目,而是观察了其他流行的开源项目,它们虽然不是很出名,但却被技术和软件社V } 1 T区广泛采用,其中包括 Jenkins、Mongo, t * TDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。

报告表明,2019 年公开披露的开源X D r z &软件漏洞数为 968,相比 2018 年的 421 个漏洞,w P 8 m 6 +安全漏洞数量增长 130%。统计显示,从 2015 年到i q r - 5 z 7 . ~ 2020 年(3 月)流行的开源项目累计有 2694 个漏洞。

2019 年热门开源项目的安全漏洞增加一倍

RiskSense 表示,它们从报告= 7 l R中发现的另一大问题是@ | y ! 1 L L大量的安全漏洞在公开披露数周后才报告给 NVD(美国国家漏洞数据库)。据了解,漏洞从首次公开披露到报告给 NVD,y _ | E V G这个时间平均要花 54 天,而 PostgreSQLMongoDB 则需要花费 8 个月的时间。

2019 年热门开源项目的安全漏洞增加一倍

更令人震惊的是s C ) U 9 G,有一个严重的 PostgreSQL 漏洞从首次公开披露到报告给g * w % C O NVD,花了 1817 天。
考虑到业界很多网络安全和 IT 软件公司都利用 NVD 数据库来建立和发送安全警报,一旦漏洞报告延迟,这将导致使用这些开源项目的企业暴露在攻击面前。并且,这还给威胁行为者创造了机会,, T T J r t { O让它们可以创建和部署漏洞利用. ^ q # P p a程序——导致安全漏洞的“武器化”。

2019 年热门开源项目的安全漏洞增加一倍

根据统计,在 54 个开源项目中,Jenkins 和 MySQL 的安全漏洞数量最多,其中,Jenkins 有 646 个安全漏洞,MySQL 紧随其后,有 624 个安全漏洞。同时,它们的武器化漏洞也是遥遥领先,分别是 15 个。虽然其他开源项目的漏洞较少,但这些漏洞更容易被武器化,比如 Vagrant 虚拟化软件和 Alfresco 内容管理系统当中的安全漏洞。

此外,Apache Tomcat= . T p i、Magento、Kubernetes、E0 ) e 3lasticseQ 5 [ % Tarch 和 JBoss 均含e S Y R . Z有一些很流行的安全漏洞。
RiskSenv A $se 总结道,开源项目在当今软件世界举足轻重,因此需要进一步改进开源项目乃至整个行业处理安全漏洞的方式。

【云栖号在线课堂】每天都有产品技术专家分享!
课程地址:h 8 C xhttps://yqh.aliyun.com/zhibo

立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK

原文发布时间:2020-06-10
本文作者P ` @ c K h k j 万佳
本文来自:“InfoQ ”,了解相关信息可以关注“InfoQ”