数字化转型浪潮中,金融行业如何破局?获取学习视频 了解详情
写点什么

2019 年热门开源项目的安全漏洞增加一倍

  • 2020 年 6 月 10 日
  • 本文字数:911 字

    阅读完需:约 3 分钟

2019年热门开源项目的安全漏洞增加一倍


近日,安全公司 RiskSense 发布了一份名为“The Dark Reality of Open Source"的报告。通过分析 54 个热门开源项目,这家公司发现这些开源项目中的安全漏洞数量从 2018 年的 421 个增加至 2019 年的 968 个,增幅超 100%。


据悉,该报告并不包括 Linux、WordPress、Drupal 等超级流行的免费工具项目,而是观察了其他流行的开源项目,它们虽然不是很出名,但却被技术和软件社区广泛采用,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。


报告表明,2019 年公开披露的开源软件漏洞数为 968,相比 2018 年的 421 个漏洞,安全漏洞数量增长 130%。统计显示,从 2015 年到 2020 年(3 月)流行的开源项目累计有 2694 个漏洞。



RiskSense 表示,它们从报告中发现的另一大问题是大量的安全漏洞在公开披露数周后才报告给 NVD(美国国家漏洞数据库)。据了解,漏洞从首次公开披露到报告给 NVD,这个时间平均要花 54 天,而 PostgreSQL 和 MongoDB 则需要花费 8 个月的时间。



更令人震惊的是,有一个严重的 PostgreSQL 漏洞从首次公开披露到报告给 NVD,花了 1817 天。


考虑到业界很多网络安全和 IT 软件公司都利用 NVD 数据库来建立和发送安全警报,一旦漏洞报告延迟,这将导致使用这些开源项目的企业暴露在攻击面前。并且,这还给威胁行为者创造了机会,让它们可以创建和部署漏洞利用程序——导致安全漏洞的“武器化”。



根据统计,在 54 个开源项目中,Jenkins 和 MySQL 的安全漏洞数量最多,其中,Jenkins 有 646 个安全漏洞,MySQL 紧随其后,有 624 个安全漏洞。同时,它们的武器化漏洞也是遥遥领先,分别是 15 个。虽然其他开源项目的漏洞较少,但这些漏洞更容易被武器化,比如 Vagrant 虚拟化软件和 Alfresco 内容管理系统当中的安全漏洞。


此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 均含有一些很流行的安全漏洞。


RiskSense 总结道,开源项目在当今软件世界举足轻重,因此需要进一步改进开源项目乃至整个行业处理安全漏洞的方式。


延展阅读:


最新报告:开源漏洞 2019 年增长近 50%,C 语言项目漏洞最多


开源安全报告:70% 的应用程序存在库引入的漏洞


每 1000 行代码有 14 个安全缺陷,开源软件的安全令人堪忧


2020 年 6 月 10 日 10:366329
用户头像
万佳 InfoQ编辑

发布了 655 篇内容, 共 269.5 次阅读, 收获喜欢 1725 次。

关注

评论 2 条评论

发布
用户头像
黑白帽犯法,写漏洞不犯法...
2020 年 06 月 10 日 11:17
回复
写漏洞?
2020 年 06 月 10 日 13:35
回复
没有更多了
发现更多内容

如何快速解决集群异常和机器性能波动

Nebula Graph

可视化 图数据库 知识图谱

高危!Fastjson反序列化漏洞风险

源字节1号

软件开发

吃豆人游戏【附源码】

JavaPub

Java实现一个坦克大战的小游戏【附源码】

JavaPub

用户体验至上时代,银行的“主动出击”

博睿数据

金融 博睿数据 数据链DNA IT运维

深入解析 TiFlash丨多并发下线程创建、释放的阻塞问题

PingCAP

亚信安慧AntDB数据库斩获“最佳数据库品牌”大奖

亚信AntDB数据库

Java 实现 植物大战僵尸 小游戏【附源码】

JavaPub

Java

Java 实现 捕鱼达人 小游戏【附源码】

JavaPub

3D赛车【附源码】设计实现

JavaPub

什么是哈希?趣投哈希幸运哈希竞猜游戏开发方案策划

开发微hkkf5566

畅聊安全生产,对话B站、唯品会一线专家!|TakinTalks大咖对谈

数列科技

java培训动态上传jar包热部署实战分享

@零度

JAVA开发

【LeetCode】最多单词数的发件人Java题解

HQ数字卡

LeetCode 5月月更

基于阿里云 ASK 的 Istio 微服务应用部署初探

阿里巴巴云原生

阿里云 容器 微服务 云原生 服务网格

超级马里奥【附源码】

JavaPub

Java实现一个打飞机的小游戏【附源码】

JavaPub

web前端培训如何解决模块依赖复杂度太高的问题

@零度

前端开发

善事利器 - 我是如何在药师帮掌店易项目落地 Zadig 的

KodeRover

DevOps 云原生 CI/CD

大数据培训数仓实践 Kimball 维度建模

@零度

数仓 大数据开发

俄罗斯方块【附源码】

JavaPub

小鸟飞行游戏【附源码】

JavaPub

Java 实现 1024 小游戏【附源码】

JavaPub

Java 实现 贪吃蛇 小游戏【附源码】

JavaPub

上新了 亚麻云 | 远程办公有点上头?解锁云上应用现代化的奥秘

亚马逊云科技 (Amazon Web Services)

远程办公 应用

“一键上链”技术大牛教你快速构建链上应用

“一键上链”技术大牛教你快速构建链上应用

2019年热门开源项目的安全漏洞增加一倍_安全_万佳_InfoQ精选文章