一項(xiàng)分析前54個(gè)開源項(xiàng)目的研究發(fā)現(xiàn)����,這些工具中的安全漏洞在2019年翻了一番�����,從2018年的421個(gè)bug到去年的968個(gè)����。根據(jù)RiskSense今天發(fā)布的 "開源的黑暗現(xiàn)實(shí) "報(bào)告,該公司在2015年至2020年3月期間發(fā)現(xiàn)流行的開源項(xiàng)目中報(bào)告了2694個(gè)bug����。
該報(bào)告并不包括Linux、WordPress�、Drupal等超級(jí)流行的免費(fèi)工具項(xiàng)目,因?yàn)檫@些項(xiàng)目經(jīng)常受到監(jiān)控���,安全bug也會(huì)成為新聞�����,確保這些安全問(wèn)題大多能相當(dāng)快地得到修補(bǔ)���。
相反��,RiskSense觀察了其他流行的開源項(xiàng)目����,這些項(xiàng)目并不那么知名�,但被技術(shù)和軟件社區(qū)廣泛采用。其中包括Jenkins�����、MongoDB����、Elasticsearch���、Chef�、GitLab����、Spark��、Puppet等工具����。
RiskSense表示���,他們?cè)谘芯窟^(guò)程中發(fā)現(xiàn)的一個(gè)主要問(wèn)題是����,他們分析的大量安全漏洞在公開披露后許多周后才被報(bào)告到國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)�����。該公司表示���,這54個(gè)項(xiàng)目中發(fā)現(xiàn)的bug通常平均需要54天左右時(shí)間才會(huì)被報(bào)告給NVD�,其中PostgreSQL的報(bào)告延遲時(shí)間達(dá)到了8個(gè)月�����。由于網(wǎng)絡(luò)安全和IT軟件公司使用NVD數(shù)據(jù)庫(kù)來(lái)創(chuàng)建和發(fā)送安全警報(bào)�����,報(bào)告延遲導(dǎo)致使用這些開源項(xiàng)目的公司仍然暴露在攻擊面前。
RiskSense表示����,自2015年以來(lái),在其分析的所有54個(gè)項(xiàng)目中�����,Jenkins自動(dòng)化服務(wù)器和MySQL數(shù)據(jù)庫(kù)服務(wù)器的武器化漏洞最多����,均為15個(gè)。雖然其他開源項(xiàng)目的bug較少����,但這些bug有時(shí)更容易被武器化,例如Vagrant虛擬化軟件和Alfresco內(nèi)容管理系統(tǒng)當(dāng)中的bug�。
RiskSense認(rèn)為,現(xiàn)在不僅需要改進(jìn)開源項(xiàng)目?jī)?nèi)部處理安全漏洞的方式���,而且需要整個(gè)行業(yè)進(jìn)行改進(jìn)�����,因?yàn)?開源項(xiàng)目正在以歷史性的速度產(chǎn)生新漏洞���。
