行業(yè)動(dòng)態(tài)

2019年熱門(mén)開(kāi)源項(xiàng)目當(dāng)中的漏洞增加了一倍

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-06-10    瀏覽次數(shù):
 

信息來(lái)源:cnbeta

一項(xiàng)分析前54個(gè)開(kāi)源項(xiàng)目的研究發(fā)現(xiàn),這些工具中的安全漏洞在2019年翻了一番,從2018年的421個(gè)bug到去年的968個(gè)。根據(jù)RiskSense今天發(fā)布的 "開(kāi)源的黑暗現(xiàn)實(shí) "報(bào)告,該公司在2015年至2020年3月期間發(fā)現(xiàn)流行的開(kāi)源項(xiàng)目中報(bào)告了2694個(gè)bug。

該報(bào)告并不包括Linux、WordPress、Drupal等超級(jí)流行的免費(fèi)工具項(xiàng)目,因?yàn)檫@些項(xiàng)目經(jīng)常受到監(jiān)控,安全bug也會(huì)成為新聞,確保這些安全問(wèn)題大多能相當(dāng)快地得到修補(bǔ)。


相反,RiskSense觀察了其他流行的開(kāi)源項(xiàng)目,這些項(xiàng)目并不那么知名,但被技術(shù)和軟件社區(qū)廣泛采用。其中包括Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。

RiskSense表示,他們?cè)谘芯窟^(guò)程中發(fā)現(xiàn)的一個(gè)主要問(wèn)題是,他們分析的大量安全漏洞在公開(kāi)披露后許多周后才被報(bào)告到國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)。該公司表示,這54個(gè)項(xiàng)目中發(fā)現(xiàn)的bug通常平均需要54天左右時(shí)間才會(huì)被報(bào)告給NVD,其中PostgreSQL的報(bào)告延遲時(shí)間達(dá)到了8個(gè)月。由于網(wǎng)絡(luò)安全和IT軟件公司使用NVD數(shù)據(jù)庫(kù)來(lái)創(chuàng)建和發(fā)送安全警報(bào),報(bào)告延遲導(dǎo)致使用這些開(kāi)源項(xiàng)目的公司仍然暴露在攻擊面前。

RiskSense表示,自2015年以來(lái),在其分析的所有54個(gè)項(xiàng)目中,Jenkins自動(dòng)化服務(wù)器和MySQL數(shù)據(jù)庫(kù)服務(wù)器的武器化漏洞最多,均為15個(gè)。雖然其他開(kāi)源項(xiàng)目的bug較少,但這些bug有時(shí)更容易被武器化,例如Vagrant虛擬化軟件和Alfresco內(nèi)容管理系統(tǒng)當(dāng)中的bug。

RiskSense認(rèn)為,現(xiàn)在不僅需要改進(jìn)開(kāi)源項(xiàng)目?jī)?nèi)部處理安全漏洞的方式,而且需要整個(gè)行業(yè)進(jìn)行改進(jìn),因?yàn)?開(kāi)源項(xiàng)目正在以歷史性的速度產(chǎn)生新漏洞。



 
 

上一篇:日本軍工傳出噩耗,遭遇大規(guī)模網(wǎng)絡(luò)攻擊,高超音速導(dǎo)彈信息被泄露

下一篇:2020年06月10日 聚銘安全速遞