一项分析前54个开源项目的研究发现,这些工具中的安全漏洞在2019年翻了一番,从2018年的421个bug到去年的968个。根据RiskSense今天发布的 “开源的黑暗现实 “报告,该公司在2015年至2020年3月期间发现流行的开源项目中报告了2694个bug。
6·18活动已全面开启 大促活动入口汇总:
阿里云6·18上云年中大促 点击领取最高12000元红包
天翼云高性能云主机1折起 低至74元/年
2020天猫6·18超级红包在此领取 6月1日追加40亿元消费券
京东6·18十七周年庆大促主会场入口 – 最高可领618元红包
该报告并不包括Linux、WordPress、Drupal等超级流行的免费工具项目,因为这些项目经常受到监控,安全bug也会成为新闻,确保这些安全问题大多能相当快地得到修补。
相反,RiskSense观察了其他流行的开源项目,这些项目并不那么知名,但被技术和软件社区广泛采用。其中包括Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。
RiskSense表示,他们在研究过程中发现的一个主要问题是,他们分析的大量安全漏洞在公开披露后许多周后才被报告到国家漏洞数据库(NVD)。该公司表示,这54个项目中发现的bug通常平均需要54天左右时间才会被报告给NVD,其中PostgreSQL的报告延迟时间达到了8个月。由于网络安全和IT软件公司使用NVD数据库来创建和发送安全警报,报告延迟导致使用这些开源项目的公司仍然暴露在攻击面前。
RiskSense表示,自2015年以来,在其分析的所有54个项目中,Jenkins自动化服务器和MySQL数据库服务器的武器化漏洞最多,均为15个。虽然其他开源项目的bug较少,但这些bug有时更容易被武器化,例如Vagrant虚拟化软件和Alfresco内容管理系统当中的bug。
RiskSense认为,现在不仅需要改进开源项目内部处理安全漏洞的方式,而且需要整个行业进行改进,因为 开源项目正在以历史性的速度产生新漏洞。
cnBeta.COM 2020-06-09 01:32:37
请登录之后再进行评论