写点什么

2019 年热门开源项目的安全漏洞增加一倍

  • 2020-06-10
  • 本文字数:911 字

    阅读完需:约 3 分钟

2019年热门开源项目的安全漏洞增加一倍


近日,安全公司 RiskSense 发布了一份名为“The Dark Reality of Open Source"的报告。通过分析 54 个热门开源项目,这家公司发现这些开源项目中的安全漏洞数量从 2018 年的 421 个增加至 2019 年的 968 个,增幅超 100%。


据悉,该报告并不包括 Linux、WordPress、Drupal 等超级流行的免费工具项目,而是观察了其他流行的开源项目,它们虽然不是很出名,但却被技术和软件社区广泛采用,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。


报告表明,2019 年公开披露的开源软件漏洞数为 968,相比 2018 年的 421 个漏洞,安全漏洞数量增长 130%。统计显示,从 2015 年到 2020 年(3 月)流行的开源项目累计有 2694 个漏洞。



RiskSense 表示,它们从报告中发现的另一大问题是大量的安全漏洞在公开披露数周后才报告给 NVD(美国国家漏洞数据库)。据了解,漏洞从首次公开披露到报告给 NVD,这个时间平均要花 54 天,而 PostgreSQL 和 MongoDB 则需要花费 8 个月的时间。



更令人震惊的是,有一个严重的 PostgreSQL 漏洞从首次公开披露到报告给 NVD,花了 1817 天。


考虑到业界很多网络安全和 IT 软件公司都利用 NVD 数据库来建立和发送安全警报,一旦漏洞报告延迟,这将导致使用这些开源项目的企业暴露在攻击面前。并且,这还给威胁行为者创造了机会,让它们可以创建和部署漏洞利用程序——导致安全漏洞的“武器化”。



根据统计,在 54 个开源项目中,Jenkins 和 MySQL 的安全漏洞数量最多,其中,Jenkins 有 646 个安全漏洞,MySQL 紧随其后,有 624 个安全漏洞。同时,它们的武器化漏洞也是遥遥领先,分别是 15 个。虽然其他开源项目的漏洞较少,但这些漏洞更容易被武器化,比如 Vagrant 虚拟化软件和 Alfresco 内容管理系统当中的安全漏洞。


此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 均含有一些很流行的安全漏洞。


RiskSense 总结道,开源项目在当今软件世界举足轻重,因此需要进一步改进开源项目乃至整个行业处理安全漏洞的方式。


延展阅读:


最新报告:开源漏洞 2019 年增长近 50%,C 语言项目漏洞最多


开源安全报告:70% 的应用程序存在库引入的漏洞


每 1000 行代码有 14 个安全缺陷,开源软件的安全令人堪忧


2020-06-10 10:367660
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 381.3 次阅读, 收获喜欢 1805 次。

关注

评论 2 条评论

发布
用户头像
黑白帽犯法,写漏洞不犯法...
2020-06-10 11:17
回复
写漏洞?
2020-06-10 13:35
回复
没有更多了
发现更多内容

YashanDB 知识库|MySQL 的 GROUP BY 语句迁移到崖山时报错?原来是这个规范不同!

数据库砖家

数据库

探索如何提升自动化测试的效率--代码评审和脚本生成

夏兮。

AI 自动化测试 端到端测试新范式

YashanDB ST_AREA函数

YashanDB

YashanDB|大整数插入报错 YAS-00013?可能是数据类型没对上

数据库砖家

数据库

YashanDB|崖山共享集群(YAC):从怀疑到认可,技术细节决定产品成色

数据库砖家

数据库

YashanDB FLOOR函数

YashanDB

YashanDB 知识库|MySQL 迁移后 CHAR 字段多出空格?问题可能出在这里

数据库砖家

数据库

DeFi开发系统软件开发:技术架构与生态重构

区块链软件开发推广运营

交易所开发 dapp开发 链游开发 公链开发 代币开发

YashanDB 知识库|如何判断表空间是否启用了加密?

数据库砖家

数据库

YashanDB GEOMETRYTYPE函数

YashanDB

通义视觉负责人薄列峰离职;ElevenLabs 开源 Next.js 音频入门套件,几分钟搭建对话式 AI丨日报

声网

故障定位系列-容器CPU问题引起的故障如何快速排查

乘云数字DataBuff

故障定位 SRE 智能运维 故障排查/诊断

YashanDB|UNDO 表空间持续增长怎么处理?一文教你排查+优化

数据库砖家

数据库

区块链内容创作全攻略:海报、白皮书与视频的视觉化革命

区块链软件开发推广运营

交易所开发 dapp开发 链游开发 公链开发 代币开发

Arthas jad(字节码文件反编译成源代码 )

刘大猫

监控 Arthas 监控工具 jad 字节码文件

观测云:安全、可信赖的监控观测云服务

观测云

安全

英特尔以系统级代工模式促进生态协同,助力客户创新

E科讯

Mint Blockchain 与 Chainlink 达成战略合作:赋能跨链创新

NFT Research

blockchain web3

DApp开发:开启去中心化应用新时代

区块链软件开发推广运营

交易所开发 dapp开发 链游开发 公链开发 代币开发

【AI】DeepWiki 页面转换成 Markdown 保存 - Chrome 扩展

非晓为骁

chrome AI DeepWiki Extension

YashanDB ST_ASBINARY函数

YashanDB

YashanDB|跑批性能调优必看:这几个参数设置请注意

数据库砖家

数据库

公链钱包开发:技术逻辑与产品设计实践

区块链软件开发推广运营

交易所开发 dapp开发 链游开发 代币开发 交易所开发公链开发

YashanDB|使用 Kettle 同步 PostgreSQL 数据时报错:pg_hba.conf 无法识别连接?

数据库砖家

数据库

YashanDB|Kettle 同步大表报错 “无法创建 Java 虚拟机”?别忘了调整内存

数据库砖家

数据库

YashanDB|select 0.00 的返回类型居然变了?警惕 JDBC 下的类型映射差异!

数据库砖家

数据库

Java 字符串拼接性能实测:基于 JMH 的微基准测试

歆晨技术笔记

AI 大赛丨总奖池 50 万元!「1000 AIdea 应用计划」等你来战!

声网

《算法导论(第4版)》阅读笔记:p11-p13

codists

算法

YashanDB GET_TYPE_NAME函数

YashanDB

英特尔持续推进核心制程和先进封装技术创新,分享最新进展

E科讯

2019年热门开源项目的安全漏洞增加一倍_安全_万佳_InfoQ精选文章