写点什么

2019 年热门开源项目的安全漏洞增加一倍

  • 2020-06-10
  • 本文字数:911 字

    阅读完需:约 3 分钟

2019年热门开源项目的安全漏洞增加一倍


近日,安全公司 RiskSense 发布了一份名为“The Dark Reality of Open Source"的报告。通过分析 54 个热门开源项目,这家公司发现这些开源项目中的安全漏洞数量从 2018 年的 421 个增加至 2019 年的 968 个,增幅超 100%。


据悉,该报告并不包括 Linux、WordPress、Drupal 等超级流行的免费工具项目,而是观察了其他流行的开源项目,它们虽然不是很出名,但却被技术和软件社区广泛采用,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。


报告表明,2019 年公开披露的开源软件漏洞数为 968,相比 2018 年的 421 个漏洞,安全漏洞数量增长 130%。统计显示,从 2015 年到 2020 年(3 月)流行的开源项目累计有 2694 个漏洞。



RiskSense 表示,它们从报告中发现的另一大问题是大量的安全漏洞在公开披露数周后才报告给 NVD(美国国家漏洞数据库)。据了解,漏洞从首次公开披露到报告给 NVD,这个时间平均要花 54 天,而 PostgreSQL 和 MongoDB 则需要花费 8 个月的时间。



更令人震惊的是,有一个严重的 PostgreSQL 漏洞从首次公开披露到报告给 NVD,花了 1817 天。


考虑到业界很多网络安全和 IT 软件公司都利用 NVD 数据库来建立和发送安全警报,一旦漏洞报告延迟,这将导致使用这些开源项目的企业暴露在攻击面前。并且,这还给威胁行为者创造了机会,让它们可以创建和部署漏洞利用程序——导致安全漏洞的“武器化”。



根据统计,在 54 个开源项目中,Jenkins 和 MySQL 的安全漏洞数量最多,其中,Jenkins 有 646 个安全漏洞,MySQL 紧随其后,有 624 个安全漏洞。同时,它们的武器化漏洞也是遥遥领先,分别是 15 个。虽然其他开源项目的漏洞较少,但这些漏洞更容易被武器化,比如 Vagrant 虚拟化软件和 Alfresco 内容管理系统当中的安全漏洞。


此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 均含有一些很流行的安全漏洞。


RiskSense 总结道,开源项目在当今软件世界举足轻重,因此需要进一步改进开源项目乃至整个行业处理安全漏洞的方式。


延展阅读:


最新报告:开源漏洞 2019 年增长近 50%,C 语言项目漏洞最多


开源安全报告:70% 的应用程序存在库引入的漏洞


每 1000 行代码有 14 个安全缺陷,开源软件的安全令人堪忧


2020-06-10 10:367669
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 382.5 次阅读, 收获喜欢 1805 次。

关注

评论 2 条评论

发布
用户头像
黑白帽犯法,写漏洞不犯法...
2020-06-10 11:17
回复
写漏洞?
2020-06-10 13:35
回复
没有更多了
发现更多内容

关于SpringBoot,我有话要讲(Filter和Controller中的异常处理)

java易二三

Java 程序员 Spring Boot 计算机

ARTS打卡 第一周

一期一会

Python 数据库 ARTS 打卡计划 前端框架 算法题

中小企业预算有限,如何使用Odoo构建企业ERP?

平平无奇爱好科技

如何使用Prestashop三步轻松搭建自己的电商网站

平平无奇爱好科技

轻松实现Matomo网站数据的高效分析极简教程

YG科技

PoseiSwap 更新质押系统,并将在 8 月18 日开启“Trident ”快照

西柚子

9 种方法使用 Amazon CodeWhisperer 快速构建应用

亚马逊云科技 (Amazon Web Services)

人工智能

浅谈冥想(69/100)

hackstoic

冥想

23. 描述符和设计模式

茶桁

Python 设计模式 描述符

Go 语言中排序的 3 种方法

AlwaysBeta

Go

PoseiSwap 更新质押系统,并将在 8 月18 日开启“Trident ”快照

BlockChain先知

数字化转型与架构-规划篇回顾

数字随行

数字化转型

Presto 设计与实现(四):动态代码生成 ByteBuddy

冰心的小屋

数据湖 bytebuddy presto presto 设计与实现

mac系统综合清理优化 MacCleaner 3 Pro激活中文

胖墩儿不胖y

mac系统清理优化软件 优化工具

步步向前,曙光已现:百度的大模型之路

脑极体

百度 文心

ARTS 打卡第 9 天

自由

ARTS 打卡计划

从新学习String和StringBuilder,让面试官虎躯一震

摸鱼编程

Java 面试 string StringBuilder

如何三步实现高性能WordPress网站的部署

平平无奇爱好科技

如何搭建企业个人直播流媒体服务器,使用OBS推送PC桌面流到SRS

平平无奇爱好科技

干货丨如何使用GitLab进行团队及项目管理

YG科技

中小企业如何使用Superset进行数据分析

YG科技

快手公布自研大模型最新进展:“快手AI对话”已开放内测

Geek老T

AI Codec 大语言模型

如何通过华为云云耀云服务器L实例自建企业Nextcloud云存储

平平无奇爱好科技

干货丨云耀云服务器L实例需要配置升级教程

平平无奇爱好科技

干货丨使用Portainer进行Docker可视化管理

YG科技

2023广州国际老年人护理用品产业展会

秋硕展览

护理用品展

2019年热门开源项目的安全漏洞增加一倍_安全_万佳_InfoQ精选文章