PCon全球产品创新大会开幕在即,查看大会全部精彩内容这里直达 了解详情
写点什么

开源安全报告:70% 的应用程序存在库引入的漏洞

  • 2020 年 5 月 27 日
  • 本文字数:987 字

    阅读完需:约 3 分钟

开源安全报告:70%的应用程序存在库引入的漏洞


近日,网络安全公司 Veracode 发布“The State of Software Security (SOSS): Open Source Edition”报告。据悉,这份报告分析了 Veracode 平台数据库中 85000 个应用程序的开源组件库,其中包含 351000 个唯一的外部库。Veracode 公司的首席研究员 Chris Eng 表示,开源软件的漏洞多样,让人吃惊!


报告发现,70%的应用程序在初始扫描的开源库中存在安全漏洞。其他重大发现:


  • 每种语言在超过 75%的应用程序中都包含最常用的库;

  • 应用程序中 47%的漏洞库都是传递的;

  • JavaScript 中超过 61%的漏洞库不包含 CVE 对应的漏洞;

  • 使用任何给定的 PHP 库,有超过 50%的机会可能带来安全漏洞;

  • 可以通过较小的版本升级来解决大多数库引入的漏洞


为获得应用安全风险的更多信息,Veracode 分析了库的依赖。许多传递依赖项可能是潜在的攻击面,并会带来意想不到的维护工作负载。


该报告还按照编程语言研究了应用程序通常在哪里获取依赖项。分析人员查看了每个应用程序,从而确定何种编程语言会给维护人员带来意想不到的结果。


研究人员发现,JavaScript、Ruby、PHP 和 Java 的大部分攻击面来自于 transitive inclusions,而.NET、Swift 和 Go 有更直接的依赖性。



此外,研究者也发现来自“Open Web Application Security Project Top 10名单”上的漏洞。


  • Injection(注入漏洞)

  • Broken Authentication(中断身份认证)

  • Sensitive data exposure(敏感数据泄露)

  • XML external entities(XML 外部处理器漏洞)

  • Broken access control(中断访问控制)

  • Security misconfiguration(安全配置错误)

  • Cross-site scripting(XSS)(跨站脚本攻击)

  • Insecure deserialization(不安全的反序列化)

  • Using components with known vulnerabilities(使用含有已知漏洞的组件)

  • Insufficient logging& monitoring(不足的记录和监控漏洞)


根据研究结果,开源库中最普遍的漏洞如下:


  1. 30%的库中发现跨站脚本攻击(XSS);

  2. 23.5%的库中存在不安全的反序列化漏洞;

  3. 20.5%的库中有中断访问控制漏洞


研究者还发现,与其他语言相比,PHP 问题最多,有超过 40%的 PHP 库存在跨站脚本问题以及更严重的中断访问控制和身份认证问题。


不过,尽管 Veracode 分析的几乎每个应用程序都存在因库引入的一些漏洞,但它也指出,补救措施很容易。


经过分析,Veracode 公司的研究人员发现:有 74%的漏洞可以通过更新来解决。同时,这些更新中的大多数都是较小的修复或修补程序,占 71%。


2020 年 5 月 27 日 15:46720

评论

发布
暂无评论
发现更多内容

nginx 惊群处理及原子锁技术

赖猫

nginx 高并发 服务器开发 C++后台开发

产品经理训练营 Week7 作业

Mai

javascript中的闭包closure详解

程序那些事

JavaScript nodejs 闭包 程序那些事 closure

《企业级业务架构设计方法论与实践》解读

javaba韩老师

业务架构 TOGAF

接口测试--apipost变量使用(一)

测试人生路

十亿级流量的搜索前端,是怎么做架构升级的?

百度Geek说

大前端 架构设计

阿里五面(4轮技术+HR)成功逆袭,面经分享

Java架构之路

Java 程序员 架构 面试 编程语言

产品经理训练营 Week7 学习心得

Mai

Kubernetes 稳定性保障手册 -- 日志专题

阿里巴巴云原生

容器 开发者 云原生 k8s 监控

如果软件测试行业没门槛了,你开心么?

程序员阿沐

软件测试 自动化测试 测试开发 测试工程师 黑盒测试

dubbo 源码 v2.7 分析:核心机制(二)

程序员架构进阶

架构 微服务 RPC 七日更 dubbo源码

最新热点:钉钉公布低代码开发者画像,这些数据意味着什么?

优秀

与 Hadoop 对比,我是如何看待 Spark 技术?

TASKCTL

大数据 hadoop spark 存储

区块链通证经济的本质与落地路径/通证经济的趋势与发展

CECBC

区块链

四面拼多多已拿offer,分享一下1 2 3 4面试经过及面试题

Java架构之路

Java 程序员 架构 面试 编程语言

没有数据的AI是空中楼阁

罗森内里大伊布

大数据 保险 保险科技 水滴公司

RocketMQ安装部署

云淡风轻

RocketMQ

我的健身之路.md

Changing Lin

3月日更

程序员成长第十八篇:项目上线

石云升

项目管理 程序员 28天写作 3月日更

谈谈职业发展中的“收入”问题

一笑

28天写作

高效搜索信息,你需要掌握这些谷歌搜索技巧

LeanCloud

开发者 大前端 工作效率

SQL Server 多表数据增量获取和发布 2.2

happlyfox

数据库 学习 28天写作 3月日更

滴普FastData系列-自动化数据集成服务DCT可编程调度容器设计

容器 数据传输 数据集成

高承实:为什么稳定币难以稳定?

CECBC

商品货币

历时半个多月,支付宝3面+美团4面+拼多多5面,侥幸全获Offer!分享面经

Java架构之路

Java 程序员 架构 面试 编程语言

有效括号入门题:使用栈能够解决超过一半的「有效括号」问题 ...

宫水三叶的刷题日记

面试 LeetCode 数据结构与算法

产品训练营--第五期作业

曦语

产品训练营

产品 0 期 - 第五周作业

vipyinzhiwei

homework1

Geek_xq

产品经理训练营第五、六周作业

happy-黑皮

产品经理训练营

第五周作业

郭郭

金融行业数据库架构实践与运维

金融行业数据库架构实践与运维

开源安全报告:70%的应用程序存在库引入的漏洞_安全_Veronica Combs_InfoQ精选文章