雲棲號資訊:【點擊查看更多行業資訊】
在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來!
近日,安全公司 RiskSense 發佈了一份名爲“The Dark Reality of Open Source" 的報告。通過分析 54 個熱門開源項目,這家公司發現這些開源項目中的安全漏洞數量在 2019 年增加一倍,從 2018 年的 421 個漏洞增加至 2019 年的 968 個。
據悉,該報告並不包括 Linux、WordPress、Drupal 等超級流行的免費工具項目,而是觀察了其他流行的開源項目,它們雖然不是很出名,但卻被技術和軟件社區廣泛採用,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。
報告表明,2019 年公開披露的開源軟件漏洞數爲 968,相比 2018 年的 421 個漏洞,安全漏洞數量增長 130%。統計顯示,從 2015 年到 2020 年(3 月)流行的開源項目累計有 2694 個漏洞。
RiskSense 表示,它們從報告中發現的另一大問題是大量的安全漏洞在公開披露數週後才報告給 NVD(美國國家漏洞數據庫)。據瞭解,漏洞從首次公開披露到報告給 NVD,這個時間平均要花 54 天,而 PostgreSQL 和 MongoDB 則需要花費 8 個月的時間。
更令人震驚的是,有一個嚴重的 PostgreSQL 漏洞從首次公開披露到報告給 NVD,花了 1817 天。
考慮到業界很多網絡安全和 IT 軟件公司都利用 NVD 數據庫來建立和發送安全警報,一旦漏洞報告延遲,這將導致使用這些開源項目的企業暴露在攻擊面前。並且,這還給威脅行爲者創造了機會,讓它們可以創建和部署漏洞利用程序——導致安全漏洞的“武器化”。
根據統計,在 54 個開源項目中,Jenkins 和 MySQL 的安全漏洞數量最多,其中,Jenkins 有 646 個安全漏洞,MySQL 緊隨其後,有 624 個安全漏洞。同時,它們的武器化漏洞也是遙遙領先,分別是 15 個。雖然其他開源項目的漏洞較少,但這些漏洞更容易被武器化,比如 Vagrant 虛擬化軟件和 Alfresco 內容管理系統當中的安全漏洞。
此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 均含有一些很流行的安全漏洞。
RiskSense 總結道,開源項目在當今軟件世界舉足輕重,因此需要進一步改進開源項目乃至整個行業處理安全漏洞的方式。
【雲棲號在線課堂】每天都有產品技術專家分享!
課程地址:https://yqh.aliyun.com/zhibo立即加入社羣,與專家面對面,及時瞭解課程最新動態!
【雲棲號在線課堂 社羣】https://c.tb.cn/F3.Z8gvnK