• <dd id="3gzlp"></dd>

    <li id="3gzlp"><acronym id="3gzlp"></acronym></li>

    <span id="3gzlp"></span>

    2019 年熱門開源項目中的漏洞增加了一倍以上

    白開水不加糖
     白開水不加糖
    發布于 2020年06月10日
    收藏 4

    openEuler項目召集令就在暑期2020,最高6萬元獎金等你來領!>>>

    RiskSense 發布了一份新報告,該報告提供了有關目前熱門的開源軟件中漏洞的深入發現,其中包括武器化漏洞數、哪種軟件最容易受到威脅、攻擊的最主要類型等內容。

    該報告并沒有包含 Linux、WordPress、Drupal 等這些經常受到監控的超級流行項目。而是觀察了一些對大眾來說并不是很知名,但卻被技術和軟件社區廣泛采用的其他熱門開源項目,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。 

    RiskSense 查看了 50 個最受歡迎的開源軟件項目,發現:

    • 漏洞涵蓋了從開發/測試、編排、容器以及工作負荷之內的現代開發的所有階段 
    • 開源正以前所未有的速度產生新的漏洞 
    • 國家漏洞數據庫(NVD)列表在開源軟件漏洞方面很落后-特別是對于那些具有最高 CVSS 嚴重性的漏洞。 

    報告結果表明,這些開源軟件中的總漏洞數在 2019 年增加了一倍以上, 從 2018 年的 421 個增長到了去年的 968 個。并指出,將開源軟件漏洞添加到國家漏洞數據庫(NVD)所需的時間非常長,從公開披露到包含,平均需要 54 天。這種延遲可能導致組織在近兩個月的時間內仍面臨嚴重的應用程序安全風險。且這種長時間的延遲存在于在所有級別的漏洞上,包括被評為“嚴重”的漏洞和已被武器化的漏洞。

    RiskSense 首席執行官 Srinivas Mukkamala 表示:“雖然開源代碼因為是經過眾包審查以發現問題,通常被認為比商業軟件更安全,但這項研究表明開源軟件漏洞正在上升,并且可能成為許多組織的盲點。” “由于開源代碼在當今到處都有使用和重用,一旦發現漏洞,它們將產生難以置信的深遠影響。”

    其他發現包括有,Jenkins 自動化服務器總體上擁有最多的 CVE,數量為 646。緊隨其后的是 MySQL,數量為 624。同時,這兩個開源軟件項目的武器化漏洞也各占 15 個。相比之下,HashiCorp 的 Vagrant 總共只有 9 個 CVE,但是其中包含了 6 個武器化漏洞。

    此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 也都存在著一些流行漏洞。而跨站點腳本(XSS)和輸入驗證漏洞則是該研究中最常見和武器化程度最高的漏洞之一。

    可從 RiskSense 網站獲取報告全文

    相關推薦閱讀:2019 年開源軟件漏洞增長近 50%,C 語言漏洞占比最高

    本站文章除注明轉載外,均為本站原創或編譯。歡迎任何形式的轉載,但請務必注明出處,尊重他人勞動共創開源社區。
    轉載請注明:文章轉載自 OSCHINA 社區 [http://www.url23.com]
    本文標題:2019 年熱門開源項目中的漏洞增加了一倍以上
    加載中
    此新聞有 1 條評論,請先登錄后再查看。
    返回頂部
    頂部
    聚看影院