写点什么

2019 年热门开源项目的安全漏洞增加一倍

  • 2020-06-10
  • 本文字数:911 字

    阅读完需:约 3 分钟

2019年热门开源项目的安全漏洞增加一倍


近日,安全公司 RiskSense 发布了一份名为“The Dark Reality of Open Source"的报告。通过分析 54 个热门开源项目,这家公司发现这些开源项目中的安全漏洞数量从 2018 年的 421 个增加至 2019 年的 968 个,增幅超 100%。


据悉,该报告并不包括 Linux、WordPress、Drupal 等超级流行的免费工具项目,而是观察了其他流行的开源项目,它们虽然不是很出名,但却被技术和软件社区广泛采用,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。


报告表明,2019 年公开披露的开源软件漏洞数为 968,相比 2018 年的 421 个漏洞,安全漏洞数量增长 130%。统计显示,从 2015 年到 2020 年(3 月)流行的开源项目累计有 2694 个漏洞。



RiskSense 表示,它们从报告中发现的另一大问题是大量的安全漏洞在公开披露数周后才报告给 NVD(美国国家漏洞数据库)。据了解,漏洞从首次公开披露到报告给 NVD,这个时间平均要花 54 天,而 PostgreSQL 和 MongoDB 则需要花费 8 个月的时间。



更令人震惊的是,有一个严重的 PostgreSQL 漏洞从首次公开披露到报告给 NVD,花了 1817 天。


考虑到业界很多网络安全和 IT 软件公司都利用 NVD 数据库来建立和发送安全警报,一旦漏洞报告延迟,这将导致使用这些开源项目的企业暴露在攻击面前。并且,这还给威胁行为者创造了机会,让它们可以创建和部署漏洞利用程序——导致安全漏洞的“武器化”。



根据统计,在 54 个开源项目中,Jenkins 和 MySQL 的安全漏洞数量最多,其中,Jenkins 有 646 个安全漏洞,MySQL 紧随其后,有 624 个安全漏洞。同时,它们的武器化漏洞也是遥遥领先,分别是 15 个。虽然其他开源项目的漏洞较少,但这些漏洞更容易被武器化,比如 Vagrant 虚拟化软件和 Alfresco 内容管理系统当中的安全漏洞。


此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 均含有一些很流行的安全漏洞。


RiskSense 总结道,开源项目在当今软件世界举足轻重,因此需要进一步改进开源项目乃至整个行业处理安全漏洞的方式。


延展阅读:


最新报告:开源漏洞 2019 年增长近 50%,C 语言项目漏洞最多


开源安全报告:70% 的应用程序存在库引入的漏洞


每 1000 行代码有 14 个安全缺陷,开源软件的安全令人堪忧


2020-06-10 10:367603
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 375.7 次阅读, 收获喜欢 1805 次。

关注

评论 2 条评论

发布
用户头像
黑白帽犯法,写漏洞不犯法...
2020-06-10 11:17
回复
写漏洞?
2020-06-10 13:35
回复
没有更多了
发现更多内容

SQL 嵌套 N 层太长太难写怎么办?

陈橘又青

9月月更

面试重点:建立Java并发知识体系(含工具全图鉴)

Java-fenn

Java

活动回顾 | 基于英特尔技术的端到端音视频优化

网易智企

音视频

公私域营销新技术:小程序一键转App

Speedoooo

小程序 APP开发 APP软件开发 小程序容器

Java注解系统学习与实战

Java-fenn

Java

解决java多继承问题

Java-fenn

Java

java时间日期类

Java-fenn

Java

外包程序员的开源 Java 低代码开发平台光 2.3.0 Beta4 版发布,显著提升生成物质量

Java-fenn

Java

接口自动化你不懂?听HttpRunner的作者怎么说

霍格沃兹测试开发学社

为什么越来越多的企业开始建立自己的知识库?

Baklib

企业 知识库

数据持久化技术(Python)的使用

霍格沃兹测试开发学社

飞书项目负责人洪涛:从抖音研发到飞书项目背后的管理经验

B Impact

飞书 飞书项目

实战指南 | Serverless 架构下的应用开发

Serverless Devs

App Deploy as Code! SAE & Terraform 实现 IaC 式部署应用

Serverless Devs

以软件定义物联网芯片,以技术融合推动LPWAN2.0泛在物联

ZETA开发者

芯片 物联网, LoRa LPWA DSP

现代应用参考架构之 OpenTelemetry 集成进展报告

NGINX开源社区

nginx 软件架构 Serverless Kubernetes

【数据库】ClickHouse在亿级广域物联标签云平台ZETag Server的探索与实践

ZETA开发者

数据库 物联网 Clickhouse Server 云平台

MobPush开发过程常见问题

MobTech袤博科技

ios android 开发者

利用AndroidNativeEmu完成多层jni调用的模拟

Java-fenn

Java

微软出品自动化神器Playwright,不用写一行代码(Playwright+Java)系列(二) 之脚本的录制及调试...

Java-fenn

Java

详解Java中的异常和处理时间

Java-fenn

Java

Java毕设项目——超市POS收银管理系统(java+SSM+Maven+Mysql+Jsp)

Java-fenn

Java

怎样才能做好企业内部wiki(维基)?

Baklib

企业 wiki

Java基础 | 如何用Javadoc Tool写规范正确的java注释

Java-fenn

Java

BAT 名企大厂做接口自动化如何高效使用 Requests ?

霍格沃兹测试开发学社

智能遍历测试在回归测试与健壮性测试的应用

霍格沃兹测试开发学社

Java 中HashMap 详解

Java-fenn

Java

Baklib|搭建在线帮助中心网页的策略分享

Baklib

页面 帮助中心 在线帮助中心

Java 函数式编程

Java-fenn

Java

最流行的接口测试体系,从入门到项目实战

霍格沃兹测试开发学社

详解:Java 的静态工厂方法

Java-fenn

Java

2019年热门开源项目的安全漏洞增加一倍_安全_万佳_InfoQ精选文章