写点什么

开源安全报告:70% 的应用程序存在库引入的漏洞

  • 2020 年 5 月 27 日
  • 本文字数:987 字

    阅读完需:约 3 分钟

开源安全报告:70%的应用程序存在库引入的漏洞


近日,网络安全公司 Veracode 发布“The State of Software Security (SOSS): Open Source Edition”报告。据悉,这份报告分析了 Veracode 平台数据库中 85000 个应用程序的开源组件库,其中包含 351000 个唯一的外部库。Veracode 公司的首席研究员 Chris Eng 表示,开源软件的漏洞多样,让人吃惊!


报告发现,70%的应用程序在初始扫描的开源库中存在安全漏洞。其他重大发现:


  • 每种语言在超过 75%的应用程序中都包含最常用的库;

  • 应用程序中 47%的漏洞库都是传递的;

  • JavaScript 中超过 61%的漏洞库不包含 CVE 对应的漏洞;

  • 使用任何给定的 PHP 库,有超过 50%的机会可能带来安全漏洞;

  • 可以通过较小的版本升级来解决大多数库引入的漏洞


为获得应用安全风险的更多信息,Veracode 分析了库的依赖。许多传递依赖项可能是潜在的攻击面,并会带来意想不到的维护工作负载。


该报告还按照编程语言研究了应用程序通常在哪里获取依赖项。分析人员查看了每个应用程序,从而确定何种编程语言会给维护人员带来意想不到的结果。


研究人员发现,JavaScript、Ruby、PHP 和 Java 的大部分攻击面来自于 transitive inclusions,而.NET、Swift 和 Go 有更直接的依赖性。



此外,研究者也发现来自“Open Web Application Security Project Top 10名单”上的漏洞。


  • Injection(注入漏洞)

  • Broken Authentication(中断身份认证)

  • Sensitive data exposure(敏感数据泄露)

  • XML external entities(XML 外部处理器漏洞)

  • Broken access control(中断访问控制)

  • Security misconfiguration(安全配置错误)

  • Cross-site scripting(XSS)(跨站脚本攻击)

  • Insecure deserialization(不安全的反序列化)

  • Using components with known vulnerabilities(使用含有已知漏洞的组件)

  • Insufficient logging& monitoring(不足的记录和监控漏洞)


根据研究结果,开源库中最普遍的漏洞如下:


  1. 30%的库中发现跨站脚本攻击(XSS);

  2. 23.5%的库中存在不安全的反序列化漏洞;

  3. 20.5%的库中有中断访问控制漏洞


研究者还发现,与其他语言相比,PHP 问题最多,有超过 40%的 PHP 库存在跨站脚本问题以及更严重的中断访问控制和身份认证问题。


不过,尽管 Veracode 分析的几乎每个应用程序都存在因库引入的一些漏洞,但它也指出,补救措施很容易。


经过分析,Veracode 公司的研究人员发现:有 74%的漏洞可以通过更新来解决。同时,这些更新中的大多数都是较小的修复或修补程序,占 71%。


2020 年 5 月 27 日 15:46627

评论

发布
暂无评论
发现更多内容

在线中文繁简体转换工具

入门小站

工具

Apache APISIX 2.10.0 正式发布,带来第一个 LTS 版本!

Apache APISIX 中国社区

开源 API网关 APISIX Apache APISIX

Vue进阶(幺叁玖):textarea文本框根据内容自适应改变高度

No Silver Bullet

Vue 10 月日更

fil挖矿分币系统开发资料(案例)

架构:微内核架构(Microkernel Architecture)二

程序员架构进阶

架构 规则引擎 10月日更 微内核架构 OSGi

康威定律

俞凡

架构 认知

应对多样管理需求,新版 EMQ X Cloud 实现多项目部署管理

EMQ映云科技

物联网 mqtt

Golang网络编程

CodeWithBuff

golang 网络编程 Go 语言 web socket

Java常用容器笔记

风翱

java 10 月日更

和12岁小同志搞创客开发:如何驱动红外遥控器?

不脱发的程序猿

少儿编程 DIY 红外遥控器 创客开发

【Flutter 专题】27 图解 ListView/GridView 混用时滑动冲突小尝试

阿策小和尚

Flutter 小菜 0 基础学习 Flutter Android 小菜鸟 10 月日更

现成filecoin算力挖矿软件系统开发公司

filecoin矿机分币系统开发方案(现成)

Java容器学习二

风翱

Java 10 月日更

Apache APISIX 社区周报 | 2021 10.1-10.14

Apache APISIX 中国社区

开源社区 API网关 APISIX 社区周报 Apache APISIX

[论文分享]VulDeePecker:基于深度学习的漏洞检测技术

maijun

机器学习 静态代码分析 VulDeePecker 漏洞检测

【日志技术专题】「logback入门到精通」彻彻底底带你学会logback框架的使用和原理(入门介绍篇)

浩宇天尚

Java logback 日志系统 10月日更 10 月日更

IPFS分币挖矿系统软件开发资料(现成)

站立会(Daily Scrum)我们说些什么

Bruce Talk

Scrum 敏捷 Agile Coach/Facilitate

redis--多机

en

redis 高可用

网络安全漏洞深度剖析

网络安全学海

网络安全 信息安全 渗透测试 WEB安全 安全漏洞

网站性能优化的实战指南

devpoint

html 性能优化 10 月日更

技术人在职场应该知道的沟通技巧

baiyutang

沟通模型 10月日更

北鲲云超算如何让仿真技术、HPC和人工智能之间的深度融合?

北鲲云

IPFS云矿机分币软件系统开发简介(源码)

linux之sed使用技巧

入门小站

Linux

这篇博客和你唠唠 python 并发,滚雪球学python第四季,第16篇

梦想橡皮擦

10月日更

FIL云算力分币软件系统开发内容(源码)

现成IPFS分布式存储矿机软件系统开发案例

官方线索|CCF CED 中国工程师文化日

穿过生命散发芬芳

1024我在现场

filecoin云算力挖矿系统软件开发源码搭建

开源安全报告:70%的应用程序存在库引入的漏洞-InfoQ