AI 年度盘点与2025发展趋势展望,50+案例解析亮相AICon 了解详情
写点什么

2019 年热门开源项目的安全漏洞增加一倍

  • 2020-06-10
  • 本文字数:911 字

    阅读完需:约 3 分钟

2019年热门开源项目的安全漏洞增加一倍


近日,安全公司 RiskSense 发布了一份名为“The Dark Reality of Open Source"的报告。通过分析 54 个热门开源项目,这家公司发现这些开源项目中的安全漏洞数量从 2018 年的 421 个增加至 2019 年的 968 个,增幅超 100%。


据悉,该报告并不包括 Linux、WordPress、Drupal 等超级流行的免费工具项目,而是观察了其他流行的开源项目,它们虽然不是很出名,但却被技术和软件社区广泛采用,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。


报告表明,2019 年公开披露的开源软件漏洞数为 968,相比 2018 年的 421 个漏洞,安全漏洞数量增长 130%。统计显示,从 2015 年到 2020 年(3 月)流行的开源项目累计有 2694 个漏洞。



RiskSense 表示,它们从报告中发现的另一大问题是大量的安全漏洞在公开披露数周后才报告给 NVD(美国国家漏洞数据库)。据了解,漏洞从首次公开披露到报告给 NVD,这个时间平均要花 54 天,而 PostgreSQL 和 MongoDB 则需要花费 8 个月的时间。



更令人震惊的是,有一个严重的 PostgreSQL 漏洞从首次公开披露到报告给 NVD,花了 1817 天。


考虑到业界很多网络安全和 IT 软件公司都利用 NVD 数据库来建立和发送安全警报,一旦漏洞报告延迟,这将导致使用这些开源项目的企业暴露在攻击面前。并且,这还给威胁行为者创造了机会,让它们可以创建和部署漏洞利用程序——导致安全漏洞的“武器化”。



根据统计,在 54 个开源项目中,Jenkins 和 MySQL 的安全漏洞数量最多,其中,Jenkins 有 646 个安全漏洞,MySQL 紧随其后,有 624 个安全漏洞。同时,它们的武器化漏洞也是遥遥领先,分别是 15 个。虽然其他开源项目的漏洞较少,但这些漏洞更容易被武器化,比如 Vagrant 虚拟化软件和 Alfresco 内容管理系统当中的安全漏洞。


此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 均含有一些很流行的安全漏洞。


RiskSense 总结道,开源项目在当今软件世界举足轻重,因此需要进一步改进开源项目乃至整个行业处理安全漏洞的方式。


延展阅读:


最新报告:开源漏洞 2019 年增长近 50%,C 语言项目漏洞最多


开源安全报告:70% 的应用程序存在库引入的漏洞


每 1000 行代码有 14 个安全缺陷,开源软件的安全令人堪忧


2020-06-10 10:367429
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 358.8 次阅读, 收获喜欢 1800 次。

关注

评论 2 条评论

发布
用户头像
黑白帽犯法,写漏洞不犯法...
2020-06-10 11:17
回复
写漏洞?
2020-06-10 13:35
回复
没有更多了
发现更多内容

Linux之find exec

入门小站

旺链科技团建图鉴 | 认真工作,肆意生活~

旺链科技

区块链 企业文化 团建

Greenplum内核源码分析-分布式事务(一)

王凤刚(ginobiliwang)

源码分析 分布式事务 greenplum

尚硅谷年终盘点|你好,2022;再见,2021

编程江湖

2022年新年祝福

一文解析Apache Avro数据

华为云开发者联盟

序列化 flink sql Apache Avro 反序列 Avro

尚硅谷喜获央广网2021年度公信力教育品牌

@零度

java开发之SSM开发框架的快速理解

@零度

ssm JAVA开发

消息队列存储消息数据设计

张靖

#架构实战营

取代Maven?maven-mvnd持续霸榜 GitHub Trending,性能提升300%

沉默王二

maven

大数据开发之Hive如何提高查询效率

@零度

大数据 hive

链计算、新基建:区块链助力数字经济新生态

CECBC

尚硅谷年终盘点 | 你好,2022;再见,2021

@零度

洞见科技携手阿里云,以“隐私计算+云”推动场景应用大规模落地

阿里云弹性计算

阿里云 数据安全 隐私计算

Iog4j2漏洞相关技术分析

极光JIGUANG

常用的echo和cat,这次让我折在了特殊字符丢失问题上

华为云开发者联盟

Linux cat echo 特殊字符 定向

在线JSON转Schema工具

入门小站

工具

【签约计划第二季】百位签约创作者名单公布

InfoQ写作社区官方

签约计划第二季 热门活动

强强联袂!腾讯云TDSQL与国双战略签约,锚定国产数据库巨大市场

腾讯云数据库

tdsql 国产数据库

WireShark好学吗?我来手把手教你学WireShark抓包及常用协议分析

学神来啦

网络安全 Wireshark 渗透测试 kali kali Linux

☕【难点攻克技术系列】「海量数据计算系列」如何使用BitMap在海量数据中对相应的进行去重、查找和排序

洛神灬殇

BitMap bitmaps bitset 12月日更

腾讯云TDSQL数据库信创演进与实践

腾讯云数据库

tdsql 国产数据库

新年将至,惊喜来袭

云计算运维

强强联袂!腾讯云TDSQL与国双战略签约,锚定国产数据库巨大市场

腾讯云数据库

tdsql 国产数据库

forEach、map和for循环

编程江湖

大前端

尚硅谷喜获央广网2021年度公信力教育品牌

编程江湖

教育

Dubbo为什么要用Go重写?

捉虫大师

Go dubbo

MongoDB按需物化视图介绍

MongoDB中文社区

mongodb

性能工具之常见压力工具是否能模拟前端?

zuozewei

前端 浏览器 性能分析 测试工具 12月日更

从人工到智能!百度AI开发者大会分论坛,探寻国球乒乓背后的AI之路

百度大脑

人工智能

TDSQL PostgreSQL如何快速定位阻塞SQL

腾讯云数据库

tdsql 国产数据库

这几个IDE是Node.js 开发人员需要知道的

@零度

node.js 前端开发

2019年热门开源项目的安全漏洞增加一倍_安全_万佳_InfoQ精选文章