【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

最新报告:开源漏洞 2019 年增长近 50%,C 语言项目漏洞最多

  • 2020-03-18
  • 本文字数:1599 字

    阅读完需:约 5 分钟

最新报告:开源漏洞2019年增长近50%,C语言项目漏洞最多


近日,安全公司 WhiteSource 发布了一份“开源安全年度报告”。报告表明,2019 年,公开披露的开源安全漏洞数量再创新高,总数为 6100 个。与 2018 年相比,开源安全漏洞的数量增长近 50%。同时,报告还表明代码漏洞最多的开源项目是用 C 语言编写的。并且,报告发现,2019 年最常见的安全漏洞类型是跨站脚本攻击、输入验证安全漏洞、缓冲区错误和越界读取以及信息泄露。


数据表明,2009 年,公开披露的开源安全漏洞不足 1000 个。


但是,随着企业对开源软件的使用增多和人们对开源安全漏洞的关注,公开披露的开源安全漏洞数量将不断增加。在这份名为《The State of Open Source Security Vulnerabilities》的研究报告中,WhiteSource 写道,“当今,开源组件已经成为现代软件应用的一部分。随着开源软件的使用不断增长,人们开始更多地关注开源软件安全研究。”

“一路飙升”的开源安全漏洞

在 2014 年,开源安全出现转折点。这一年,Codenomicon 和谷歌安全部门的研究人员披露 OpenSSL 漏洞,该漏洞可以让攻击者获得服务器上 64K 内存中的数据内容。该漏洞被国内称为“OpenSSL 心脏出血漏洞”,因其破坏性之大和影响范围之广,堪称网络安全里程碑事件。


这件事不仅给科技行业敲响了警钟,而且让科技公司开始采取行动,比如为修复类似的重大漏洞,业内十二家顶级科技企业加入Linux基金会基础架构联盟(CII),包括亚马逊、谷歌、IBM、Intel、微软和思科等。


据 WhiteSource 的报告显示,2015 年和 2016 年,每年开源安全漏洞的数量不超过 2000,但是在 2017 年和 2018 年,开源安全漏洞的数量一路飙升,超过 4000。



2019 年,开源安全的漏洞超过 6000 个,突破历史记录。


不过,好消息是超过 85%的开源安全漏洞在披露时已经有修复程序。


“过去几年,科技巨头在开源上加大投资,从而能更好地管理开源项目和提升安全性。同时,社区也在不断致力于安全研究,及时发布针对开源安全漏洞的修复版本。”WhiteSource 表示。


然而,有些用户并不知道这些修复程序,因为已知的开源漏洞只有 84%提交到 NVD(美国国家漏洞数据库)。


报告还指出:遗憾的是,开源软件的漏洞并没有集中在一处发布,而是分散在数百种资源中。有时,索引的编制并不正确,导致搜索特定数据成为一项艰巨挑战


据悉,一部分新发现的安全漏洞来自谷歌开源模糊测试工具,比如OSS-Fuzz,它在 2 年时间找到 9000 个漏洞。仅在 2020 年 1 月,它又在 250 个开源项目中发现16000 个漏洞。


去年,WhiteSource 和 GitHub 合作,将其漏洞数据库带到 GitHub,为其安全警报提供服务。针对那些由 PHP、Java、Python、.NET、JavaScript 和 Ruby 编写的开源项目,GitHub 会扫描开源项目来发现潜在的安全漏洞。目前,它已经帮助开发者找到和修复了数百万漏洞


另外,GitHub 在 2019 年成立安全实验室(Security Lab),汇聚安全研究人员查找并修复开源项目中的安全漏洞。并且,GitHub 成为授权 CVE 编号发布机构,项目维护者可以和安全专家一起研究安全修复程序,并直接从 GitHub 上申请 CVE 编号,并披露有关漏洞的详细信息。


尽管 GitHub 不断提升安全性,但是 WhiteSource 指出,开发者可能被发现的大量安全漏洞所“淹没”,应接不暇。

最不安全的编程语言

WhiteSource 还从编程语言角度对存在安全漏洞的开源项目进行了分析。研究发现,安全漏洞最多的开源项目是用 C 语言编写的,占比 30%。


这家公司解释,C 语言占比之高是因为有太多的开源项目是用它编写。



第二是 PHP。尽管 PHP 在开发者心中的受欢迎度大不如前,但用 PHP 编写的代码占开源安全漏洞的 27%,与 10 年前的 15%相比,进一步上升。


相比而言,用 Python 编写的代码占开源安全漏洞的 5%,这与 10 年前的 6%相比有所下降。


此外,报告还表明,2019 年,最常见的安全漏洞类型是 CSS(跨站脚本攻击)、输入验证安全漏洞、缓冲区错误、越界读取和信息泄露。其中,跨站脚本攻击是 Java、JavaScript、PHP、Python 和 Ruby 中最常见的漏洞类型。


2020-03-18 07:002790
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 333.3 次阅读, 收获喜欢 1794 次。

关注

评论

发布
暂无评论
发现更多内容

互联网信贷风险与大数据 催收管理

张老蔫

28天写作

学习感悟

shun123456789

融云IMKit 动态删除或添加plugin 的实现

融云 RongCloud

IM

2万字系统总结,带你实现 Linux 命令自由?

比伯

Java 编程 架构 面试 程序人生

唠一唠融云 VIVO push 无法跳转的解决方案

融云 RongCloud

sdk

叫练手把手教你读JVM之GC信息

叫练

JVM JVM简介 JVM笔记

Wireshark 数据包分析学习笔记Day12

穿过生命散发芬芳

Wireshark 数据包分析 3月日更

融云 ConversationListFragment 会话列表添加头部布局

融云 RongCloud

sdk

融云如何更换用户信息

融云 RongCloud

即时通讯

融云即时通讯SDK集成 -- 定制UI(一) ——会话界面小改动

融云 RongCloud

即时通讯

干货 | 比特币就是时钟

CECBC

比特币 时间同步

php 实现单链表以及链表反转等操作

一个大红包

3月日更

「Linux」各目录详解

我是程序员小贱

面试 3月日更

融云 IMkit 拦截或监听所有发送消息

融云 RongCloud

sdk

Redis不是一直号称单线程效率也很高吗,为什么又采用多线程了?

数据库 redis 架构

Web3.0时代到来 imToken借助区块链帮更多人完成价值存储和转移

CECBC

区块链

关于融云聊天室KV 值的正确使用

融云 RongCloud

即时通讯

融云即时通讯SDK集成 -- 定制UI(三) ——兼容Android Q

融云 RongCloud

即时通讯

跳转到@消息的位置

融云 RongCloud

即时通讯

Web 安全之 CSRF

架构精进之路

Web 安全 3月日更

区块链助飞机加油和支付过程更透明高效

CECBC

区块链

融云如何把图片消息的图片上传到自己的文件服务器

融云 RongCloud

sdk

融云即时通讯SDK集成 -- 华为推送的点击跳转处理

融云 RongCloud

即时通讯

阿里大师口述:让你可以在简历上写精通SpringBoot

编程 架构 springboot

寻找被遗忘的勇气(十五)

Changing Lin

3月日更

(28DW-S8-Day24) 重新定义流程

mtfelix

28天写作

弱网测试工具

Geek_6370d5

融云聊天室属性 kv

融云 RongCloud

IM

技术实践 | 网易云信 QUIC 加速服务架构与实践

网易云信

架构 音视频

在融云 IMkit 会话界面基础上添加消息已读未读

融云 RongCloud

IM

配置融云SDK的自签证书

融云 RongCloud

sdk

最新报告:开源漏洞2019年增长近50%,C语言项目漏洞最多_安全_万佳_InfoQ精选文章