RiskSense 發(fā)布了一份新報(bào)告，該報(bào)告提供了有關(guān)目前熱門(mén)的開(kāi)源軟件中漏洞的深入發(fā)現(xiàn)，其中包括武器化漏洞數(shù)、哪種軟件最容易受到威脅、攻擊的最主要類(lèi)型等內(nèi)容。

該報(bào)告并沒(méi)有包含 Linux、WordPress、Drupal 等這些經(jīng)常受到監(jiān)控的超級(jí)流行項(xiàng)目。而是觀察了一些對(duì)大眾來(lái)說(shuō)并不是很知名，但卻被技術(shù)和軟件社區(qū)廣泛采用的其他熱門(mén)開(kāi)源項(xiàng)目，其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。

RiskSense 查看了 50 個(gè)最受歡迎的開(kāi)源軟件項(xiàng)目，發(fā)現(xiàn)：

• 漏洞涵蓋了從開(kāi)發(fā) / 測(cè)試、編排、容器以及工作負(fù)荷之內(nèi)的現(xiàn)代開(kāi)發(fā)的所有階段

• 開(kāi)源正以前所未有的速度產(chǎn)生新的漏洞

• 國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）列表在開(kāi)源軟件漏洞方面很落后 - 特別是對(duì)于那些具有最高 CVSS 嚴(yán)重性的漏洞。

報(bào)告結(jié)果表明，這些開(kāi)源軟件中的總漏洞數(shù)在 2019 年增加了一倍以上， 從 2018 年的 421 個(gè)增長(zhǎng)到了去年的 968 個(gè)。并指出，將開(kāi)源軟件漏洞添加到國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）所需的時(shí)間非常長(zhǎng)，從公開(kāi)披露到包含，平均需要54 天。這種延遲可能導(dǎo)致組織在近兩個(gè)月的時(shí)間內(nèi)仍面臨嚴(yán)重的應(yīng)用程序安全風(fēng)險(xiǎn)。且這種長(zhǎng)時(shí)間的延遲存在于在所有級(jí)別的漏洞上，包括被評(píng)為 “嚴(yán)重”的漏洞和已被武器化的漏洞。

RiskSense 首席執(zhí)行官 Srinivas Mukkamala 表示：“雖然開(kāi)源代碼因?yàn)槭墙?jīng)過(guò)眾包審查以發(fā)現(xiàn)問(wèn)題，通常被認(rèn)為比商業(yè)軟件更安全，但這項(xiàng)研究表明開(kāi)源軟件漏洞正在上升，并且可能成為許多組織的盲點(diǎn)。” “由于開(kāi)源代碼在當(dāng)今到處都有使用和重用，一旦發(fā)現(xiàn)漏洞，它們將產(chǎn)生難以置信的深遠(yuǎn)影響?！?/p>

其他發(fā)現(xiàn)包括有，Jenkins 自動(dòng)化服務(wù)器總體上擁有最多的 CVE，數(shù)量為 646。緊隨其后的是 MySQL，數(shù)量為 624。同時(shí)，這兩個(gè)開(kāi)源軟件項(xiàng)目的武器化漏洞也各占 15 個(gè)。相比之下，HashiCorp 的 Vagrant 總共只有 9 個(gè) CVE，但是其中包含了 6 個(gè)武器化漏洞。

此外，Apache Tomcat、Magento、Kubernetes、Elasticsearch 和JBoss 也都存在著一些流行漏洞。而跨站點(diǎn)腳本（XSS）和輸入驗(yàn)證漏洞則是該研究中最常見(jiàn)和武器化程度最高的漏洞之一。

可從 RiskSense 網(wǎng)站獲取報(bào)告全文。

總結(jié)

以上是生活随笔為你收集整理的2019 年热门开源项目中的漏洞增加了一倍以上的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。