现场实操破解开发瓶颈,「2023 百度云智大会·智算大会 开发者沙龙」不容错过! 了解详情
写点什么

2019 年热门开源项目的安全漏洞增加一倍

  • 2020-06-10
  • 本文字数:911 字

    阅读完需:约 3 分钟

2019年热门开源项目的安全漏洞增加一倍


近日,安全公司 RiskSense 发布了一份名为“The Dark Reality of Open Source"的报告。通过分析 54 个热门开源项目,这家公司发现这些开源项目中的安全漏洞数量从 2018 年的 421 个增加至 2019 年的 968 个,增幅超 100%。


据悉,该报告并不包括 Linux、WordPress、Drupal 等超级流行的免费工具项目,而是观察了其他流行的开源项目,它们虽然不是很出名,但却被技术和软件社区广泛采用,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。


报告表明,2019 年公开披露的开源软件漏洞数为 968,相比 2018 年的 421 个漏洞,安全漏洞数量增长 130%。统计显示,从 2015 年到 2020 年(3 月)流行的开源项目累计有 2694 个漏洞。



RiskSense 表示,它们从报告中发现的另一大问题是大量的安全漏洞在公开披露数周后才报告给 NVD(美国国家漏洞数据库)。据了解,漏洞从首次公开披露到报告给 NVD,这个时间平均要花 54 天,而 PostgreSQL 和 MongoDB 则需要花费 8 个月的时间。



更令人震惊的是,有一个严重的 PostgreSQL 漏洞从首次公开披露到报告给 NVD,花了 1817 天。


考虑到业界很多网络安全和 IT 软件公司都利用 NVD 数据库来建立和发送安全警报,一旦漏洞报告延迟,这将导致使用这些开源项目的企业暴露在攻击面前。并且,这还给威胁行为者创造了机会,让它们可以创建和部署漏洞利用程序——导致安全漏洞的“武器化”。



根据统计,在 54 个开源项目中,Jenkins 和 MySQL 的安全漏洞数量最多,其中,Jenkins 有 646 个安全漏洞,MySQL 紧随其后,有 624 个安全漏洞。同时,它们的武器化漏洞也是遥遥领先,分别是 15 个。虽然其他开源项目的漏洞较少,但这些漏洞更容易被武器化,比如 Vagrant 虚拟化软件和 Alfresco 内容管理系统当中的安全漏洞。


此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 均含有一些很流行的安全漏洞。


RiskSense 总结道,开源项目在当今软件世界举足轻重,因此需要进一步改进开源项目乃至整个行业处理安全漏洞的方式。


延展阅读:


最新报告:开源漏洞 2019 年增长近 50%,C 语言项目漏洞最多


开源安全报告:70% 的应用程序存在库引入的漏洞


每 1000 行代码有 14 个安全缺陷,开源软件的安全令人堪忧


2020-06-10 10:367228
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 325.8 次阅读, 收获喜欢 1790 次。

关注

评论 2 条评论

发布
用户头像
黑白帽犯法,写漏洞不犯法...
2020-06-10 11:17
回复
写漏洞?
2020-06-10 13:35
回复
没有更多了
发现更多内容

花了小半年开发的 AI 套壳 APP,然而大势已过,现已完全开源啦

mylxsw

flutter 开源 Go 语言 app development AI工具

兑换质押挖矿交易所系统DAPP开发

V\TG【ch3nguang】

去中心化交易所系统开发部署搭建

V\TG【ch3nguang】

Java最新发布版本有哪些变化?

小魏写代码

java;

去中心化交易所系统功能开发程序设计

V\TG【ch3nguang】

没有共享信息化系统加持的财务共享中心,是否可以高效顺畅运行?

用友BIP

财务共享

2024中国(上海)国际绝缘材料展览会

吹吹晚风

用友与人大金仓、志凌海纳SmartX联合发布数智化转型全栈信创解决方案

用友BIP

价值化国产替代 升级数智化底座

如何构建一个 NodeJS 影院微服务并使用 Docker 部署

Swift社区

Docker Swarm nodejs docker build

山东布谷科技直播系统源码平台内容安全与版权维护技术:DRM

山东布谷科技

版权 内容安全 直播系统源码 DRM 数字版权管理

记录第一次带后端团队

高端章鱼哥

后端 带团队

华为云发布CodeArts Inspector漏洞管理服务,守护产品研发安全

华为云开发者联盟

云计算 后端 华为云 华为云开发者联盟 企业号9月PK榜

2024上海国际软启动技术及设备展览会

吹吹晚风

2024深圳国际电力自动化技术及设备展览会

吹吹晚风

用友全球化数智运营解决方案:实时协同,启动组织,为中企出海赋能

用友BIP

中企出海

亮相腾讯全球数字生态大会,用友Fast by BIP&腾讯云联合方案重磅发布

用友BIP

Fast by BIP

企事业移动培训考学知识库管理系统

金陵老街

Vue java;

2024上海国际非晶及纳米晶材料展览会

吹吹晚风

2024上海国际绕线设备及技术展览会

吹吹晚风

如何get一个终身免费续期的定制数字人?

阿里云视频云

云计算 视频云 数字人

OEX去中心化量化交易所系统dapp开发

V\TG【ch3nguang】

@全体开发者们,ChunJun 有奖征文,精美奖品,快来参加!

袋鼠云数栈

开源 征稿 征文

2023年大数据平台数据安全管理工具重点推荐

行云管家

大数据 数据安全 大数据平台 大数据平台数据安全

Navicat 携手华为云GaussDB,联合打造便捷高效的数据库开发和建模工具方案

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号9月PK榜

区块链数字货币交易所系统开发

V\TG【ch3nguang】

如何get一个终身免费续期的定制数字人?

阿里云视频云

云计算 视频云 数字人

2019年热门开源项目的安全漏洞增加一倍_安全_万佳_InfoQ精选文章