FreeBuf|安全研究:2019年流行的开源项目漏洞数量翻了一倍
本文插图
近期 , 安全专家们对目前最热门的54个开源项目进行了分析和研究 , 并且发现这些开源工具中存在的安全漏洞数量在2019年翻了一倍 。 因为2018年相同开源项目中的漏洞仅为421个 , 而在去年这些项目中的漏洞数量激增为了968个 。
根据RiskSense近期发布的《The Dark Reality of Open Source》报告 , RiskSense的安全研究专家在2015年至2020年3月份之间 , 在当前热门的开源项目中总共发现并报告了2694个安全漏洞 。 但是 , 这份报告中并没有涵盖类似Linux、WordPress、Drupal等非常热门的免费工具或项目 , 因为这些项目是经常被安全人员监控着的 , 这些项目中一旦出现了安全漏洞 , 也会在很短的时间内得到修复 。
但是 , RiskSense关注的是其他热门的开源项目 , 相比上述的开源项目来说 , 这些项目的关注度并没有那么高 , 但是它们仍然被技术社区和软件社区所广泛使用 , 比如说Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具 。
RiskSense的研究人员表示 , 他们在研究过程中发现的一个主要问题是 , 他们分析的大量安全漏洞都是已经在被公开披露数周后才被上报给国家漏洞数据库(NVD)的 。 研究人员表示 , 在这54个项目中被发现的漏洞 , 平均需要54天天才能被上报给NVD , 而针对PostgreSQL的漏洞报告甚至会延长至8个月才能得到上报 。
下面给出的是RiskSense提供的项目漏洞报告延迟天数表:
本文插图
【FreeBuf|安全研究:2019年流行的开源项目漏洞数量翻了一倍】
由于网络安全和IT软件公司大多都会使用NVD数据库来创建和发送安全警报 , 而漏洞报告的延迟将导致公司组织或旗下产品暴露在安全风险之下 。 除此之外 , 这种漏洞报告延迟还将允许网络犯罪分子拥有充足的时间来开发和部署漏洞利用程序 , 并丰富自己的武器库 。
RiskSense的研究人员表示 , 在他们所分析的54个热门开源项目中 , 针对Jenkins自动化服务器和MySQL数据库服务器的漏洞利用工具是自2015年以来最多的 , 分别都有15个已成熟的武器化漏洞利用工具 。
下面给出的是各个开源项目对应的CVE漏洞数量以及漏洞利用工具数量:
本文插图
由此可见 , 漏洞数量其实跟漏洞利用工具数量之间并没有直接的联系 。 虽然其他开源项目的安全漏洞较少 , 但这些安全漏洞有时更容易被武器化 , 例如Vagrant虚拟化软件和Alfresco内容管理系统 。
下面给出的是各个项目漏洞武器化CVE百分比:
本文插图
在现在所有的商业软件项目中 , 开源项目几乎占了99% , 毫无疑问 , 现在正是需要改进开源项目内部以及整个行业处理安全漏洞的方式的最佳时机 。 这一点 , 比以往任何时候都更加紧要 , 因为“开源项目正在以历史上最快的速度产生新的漏洞” 。
参考来源
精彩推荐
本文插图
推荐阅读
- 技术编程|如何利用数据库进行世界史研究
- 数据|翼方健数解码隐私安全计算 实现数据“可用不可见”
- 手机使用技巧|宝宝照片太多怎么办?4种不占手机内存的存储方式,最后一种更安全
- 环球Tech|室内飞无人机担心互撞?研究人员开发AI算法来防撞
- 春光研究院|兼具家用和车载,售价只要竞品零头!洒哇地咔K11吸尘器开箱评
- 科学|如果欧洲核子研究中心发现了一种新的粒子,这意味着什么呢?
- 戒毒|防治毒品复吸新靶点 研究团队“擦除”小鼠成瘾记忆
- 鱼侃侃侃科技|MIUI确认在MIUI12中已将剪切板权限独立拆分,确保隐私安全
- IOS系统|iOS 13.6:苹果刚刚给了iPhone用户29个更新的安全理由
- 科学|2020年蝗虫频繁来袭,研究发现,它们在向人类传达重要信息