QCon 全球软件开发大会倒计时2个月!讲师已确认60%+ >>> 了解详情
写点什么

最新报告:开源漏洞 2019 年增长近 50%,C 语言项目漏洞最多

  • 2020-03-18
  • 本文字数:1599 字

    阅读完需:约 5 分钟

最新报告:开源漏洞2019年增长近50%,C语言项目漏洞最多


近日,安全公司 WhiteSource 发布了一份“开源安全年度报告”。报告表明,2019 年,公开披露的开源安全漏洞数量再创新高,总数为 6100 个。与 2018 年相比,开源安全漏洞的数量增长近 50%。同时,报告还表明代码漏洞最多的开源项目是用 C 语言编写的。并且,报告发现,2019 年最常见的安全漏洞类型是跨站脚本攻击、输入验证安全漏洞、缓冲区错误和越界读取以及信息泄露。


数据表明,2009 年,公开披露的开源安全漏洞不足 1000 个。


但是,随着企业对开源软件的使用增多和人们对开源安全漏洞的关注,公开披露的开源安全漏洞数量将不断增加。在这份名为《The State of Open Source Security Vulnerabilities》的研究报告中,WhiteSource 写道,“当今,开源组件已经成为现代软件应用的一部分。随着开源软件的使用不断增长,人们开始更多地关注开源软件安全研究。”

“一路飙升”的开源安全漏洞

在 2014 年,开源安全出现转折点。这一年,Codenomicon 和谷歌安全部门的研究人员披露 OpenSSL 漏洞,该漏洞可以让攻击者获得服务器上 64K 内存中的数据内容。该漏洞被国内称为“OpenSSL 心脏出血漏洞”,因其破坏性之大和影响范围之广,堪称网络安全里程碑事件。


这件事不仅给科技行业敲响了警钟,而且让科技公司开始采取行动,比如为修复类似的重大漏洞,业内十二家顶级科技企业加入Linux基金会基础架构联盟(CII),包括亚马逊、谷歌、IBM、Intel、微软和思科等。


据 WhiteSource 的报告显示,2015 年和 2016 年,每年开源安全漏洞的数量不超过 2000,但是在 2017 年和 2018 年,开源安全漏洞的数量一路飙升,超过 4000。



2019 年,开源安全的漏洞超过 6000 个,突破历史记录。


不过,好消息是超过 85%的开源安全漏洞在披露时已经有修复程序。


“过去几年,科技巨头在开源上加大投资,从而能更好地管理开源项目和提升安全性。同时,社区也在不断致力于安全研究,及时发布针对开源安全漏洞的修复版本。”WhiteSource 表示。


然而,有些用户并不知道这些修复程序,因为已知的开源漏洞只有 84%提交到 NVD(美国国家漏洞数据库)。


报告还指出:遗憾的是,开源软件的漏洞并没有集中在一处发布,而是分散在数百种资源中。有时,索引的编制并不正确,导致搜索特定数据成为一项艰巨挑战


据悉,一部分新发现的安全漏洞来自谷歌开源模糊测试工具,比如OSS-Fuzz,它在 2 年时间找到 9000 个漏洞。仅在 2020 年 1 月,它又在 250 个开源项目中发现16000 个漏洞。


去年,WhiteSource 和 GitHub 合作,将其漏洞数据库带到 GitHub,为其安全警报提供服务。针对那些由 PHP、Java、Python、.NET、JavaScript 和 Ruby 编写的开源项目,GitHub 会扫描开源项目来发现潜在的安全漏洞。目前,它已经帮助开发者找到和修复了数百万漏洞


另外,GitHub 在 2019 年成立安全实验室(Security Lab),汇聚安全研究人员查找并修复开源项目中的安全漏洞。并且,GitHub 成为授权 CVE 编号发布机构,项目维护者可以和安全专家一起研究安全修复程序,并直接从 GitHub 上申请 CVE 编号,并披露有关漏洞的详细信息。


尽管 GitHub 不断提升安全性,但是 WhiteSource 指出,开发者可能被发现的大量安全漏洞所“淹没”,应接不暇。

最不安全的编程语言

WhiteSource 还从编程语言角度对存在安全漏洞的开源项目进行了分析。研究发现,安全漏洞最多的开源项目是用 C 语言编写的,占比 30%。


这家公司解释,C 语言占比之高是因为有太多的开源项目是用它编写。



第二是 PHP。尽管 PHP 在开发者心中的受欢迎度大不如前,但用 PHP 编写的代码占开源安全漏洞的 27%,与 10 年前的 15%相比,进一步上升。


相比而言,用 Python 编写的代码占开源安全漏洞的 5%,这与 10 年前的 6%相比有所下降。


此外,报告还表明,2019 年,最常见的安全漏洞类型是 CSS(跨站脚本攻击)、输入验证安全漏洞、缓冲区错误、越界读取和信息泄露。其中,跨站脚本攻击是 Java、JavaScript、PHP、Python 和 Ruby 中最常见的漏洞类型。


2020-03-18 07:002774
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 330.5 次阅读, 收获喜欢 1792 次。

关注

评论

发布
暂无评论
发现更多内容

爱番番企业查询结果优化实践

百度Geek说

大数据 搜索引擎 elasticsearch

每日算法刷题Day5-平方矩阵II和III、蛇形矩阵图解

timerring

刷题 算法题 9月月更

每日算法刷题Day7-比较字符串大小,去掉多余的空格,单词替换

timerring

算法 刷题 9月月更

大咖说 | 小码王应用无影打造纯净课堂,三年综合使用成本降低60%以上

大咖说

StarRocks Summit Asia 2022圆满闭幕,极速统一3.0时代开启

StarRocks

数据库

orbeon form 的架构简介 - 如何访问用户通过 form 存储的数据

Jerry Wang

SAP Hybris commerce form 9月月更

MASA Stack 第五期社区例会

MASA技术团队

MASA Framewrok MASA MASA Blazor

文科生大数据培训需要注意的问题

小谷哥

CDH/CDP中开启kerberos后如何访问HDFS/YARN/HIVESERVER2 等服务的webui

明哥的IT随笔

hadoop hive kerberos

重磅预告!2022研运一体创新峰会火热报名中!

嘉为蓝鲸

运维 数字化转型 IT 研发

Optional源码解析与实践

京东科技开发者

Java Optional 抛出异常 NullPointerException 映射函数

Github星标百万!终于有人将Spring技术精髓收录成册

Geek_0c76c3

Java 数据库 开源 程序员 开发

每日算法刷题Day3-起始时间转换、二次方根、while连续输入、斐波那契思路

timerring

刷题 算法题 9月月更

移动应用平台有哪些优势?能为企业带来什么好处?

WorkPlus

阿里P9师傅亲传98K+星的MySQL性能优化金字塔法则手册助我升职P7

Geek_0c76c3

Java 数据库 开源 程序员 架构

从 0 到 1 上手阿里云服务器 ECS(三)

六月的雨在InfoQ

MySQL RDS ECS 云数据库RDS for MySQL 9月月更

刘潇翔:基于OpenHarmony的仿生四足狗开发分享

OpenHarmony开发者

Open Harmony

每日算法刷题Day4-完全数、分情况输出、平方矩阵、斐波那契数列匹配输出

timerring

刷题 算法题 9月月更

每日算法刷题Day6-循环相克令,字符串插入,单次字符出现

timerring

算法 刷题 9月月更

回归理性,直面低代码

华为云开发者联盟

云计算 后端 软件开发 低代码 企业号九月金秋榜

web前端开发技术培训需要学习多久

小谷哥

再添重磅理事成员!麒麟软件、浪潮信息、中科曙光、新华三加入龙蜥

OpenAnolis小助手

龙蜥社区 新华三 中科曙光 麒麟软件 浪潮信息

每日算法刷题Day2-向上取整、三角形条件、字符串拼接匹配、三数排序思路

timerring

算法 刷题 9月月更

安全、可靠、稳定的企业IM,WorkPlus是政企工作的首选

WorkPlus

参加前端培训哪种方式比较靠谱

小谷哥

技术分享| anyRTC服务4.3升级

anyRTC开发者

音视频 sdk 视频通话 实时消息 快对讲

每日算法刷题Day1-隐式转换与精度丢失

timerring

算法 刷题笔记 9月月更

参加java培训学习难不难?

小谷哥

意外!花20天刷完Alibaba JVM笔记去面阿里,却意外拿到京东Offer?

Geek_0c76c3

Java 数据库 开源 程序员 面试

膜拜大佬!分享一份京东T9大牛私藏文档:从NIO一直学到Netty

Geek_0c76c3

Java 数据库 开源 程序员 开发

java技术线下面授培训学习好还是自学好

小谷哥

最新报告:开源漏洞2019年增长近50%,C语言项目漏洞最多_安全_万佳_InfoQ精选文章