写点什么

2019 年热门开源项目的安全漏洞增加一倍

  • 2020-06-10
  • 本文字数:911 字

    阅读完需:约 3 分钟

2019年热门开源项目的安全漏洞增加一倍


近日,安全公司 RiskSense 发布了一份名为“The Dark Reality of Open Source"的报告。通过分析 54 个热门开源项目,这家公司发现这些开源项目中的安全漏洞数量从 2018 年的 421 个增加至 2019 年的 968 个,增幅超 100%。


据悉,该报告并不包括 Linux、WordPress、Drupal 等超级流行的免费工具项目,而是观察了其他流行的开源项目,它们虽然不是很出名,但却被技术和软件社区广泛采用,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。


报告表明,2019 年公开披露的开源软件漏洞数为 968,相比 2018 年的 421 个漏洞,安全漏洞数量增长 130%。统计显示,从 2015 年到 2020 年(3 月)流行的开源项目累计有 2694 个漏洞。



RiskSense 表示,它们从报告中发现的另一大问题是大量的安全漏洞在公开披露数周后才报告给 NVD(美国国家漏洞数据库)。据了解,漏洞从首次公开披露到报告给 NVD,这个时间平均要花 54 天,而 PostgreSQL 和 MongoDB 则需要花费 8 个月的时间。



更令人震惊的是,有一个严重的 PostgreSQL 漏洞从首次公开披露到报告给 NVD,花了 1817 天。


考虑到业界很多网络安全和 IT 软件公司都利用 NVD 数据库来建立和发送安全警报,一旦漏洞报告延迟,这将导致使用这些开源项目的企业暴露在攻击面前。并且,这还给威胁行为者创造了机会,让它们可以创建和部署漏洞利用程序——导致安全漏洞的“武器化”。



根据统计,在 54 个开源项目中,Jenkins 和 MySQL 的安全漏洞数量最多,其中,Jenkins 有 646 个安全漏洞,MySQL 紧随其后,有 624 个安全漏洞。同时,它们的武器化漏洞也是遥遥领先,分别是 15 个。虽然其他开源项目的漏洞较少,但这些漏洞更容易被武器化,比如 Vagrant 虚拟化软件和 Alfresco 内容管理系统当中的安全漏洞。


此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 均含有一些很流行的安全漏洞。


RiskSense 总结道,开源项目在当今软件世界举足轻重,因此需要进一步改进开源项目乃至整个行业处理安全漏洞的方式。


延展阅读:


最新报告:开源漏洞 2019 年增长近 50%,C 语言项目漏洞最多


开源安全报告:70% 的应用程序存在库引入的漏洞


每 1000 行代码有 14 个安全缺陷,开源软件的安全令人堪忧


2020-06-10 10:367531
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 369.8 次阅读, 收获喜欢 1803 次。

关注

评论 2 条评论

发布
用户头像
黑白帽犯法,写漏洞不犯法...
2020-06-10 11:17
回复
写漏洞?
2020-06-10 13:35
回复
没有更多了
发现更多内容

计算机体系结构“圣经”新版,图灵奖得主扛鼎之作,影响无数技术人

图灵社区

计算机体系结构

大数据培训技术学费是多少

小谷哥

线下技术培训班怎么选择比较好?

小谷哥

“程”风破浪的开发者|你真的会用Redis做消息队列吗

芥末拌个饭吧

学习方法 redis 底层原理 10月月更

经历了6个月的失踪,我将带着干货终究归来!【RocketMQ入门到精通】

码界西柚

1024 10月月更

第K个语法符号

掘金安东尼

算法 10月月更

“全球金牌课程”【11月CSM认证】国际Scrum联盟认证导师CST授课 | 火热报名中

ShineScrum

Scrum CSM 敏捷项目 ScrumMaster认证

【LeetCode】连续子数组的最大和Java题解

Albert

算法 LeetCode 10月月更

易安联安全应急响应中心EnSRC上线,专为零信任安全守护

权说安全

零信任 应急响应

即刻报名|金融业传统 OLAP 升级及精细化运营实践

Kyligence

OLAP 数据驱动

搞定PC生产力,戴尔OptiPlex 7000系列助力办公体验再升级

科技热闻

在线问题反馈模块实战(五):实现对通用字段内容自动填充功能

bug菌

springboot 项目实战 10月月更

基于强化学习的测试日志智能分析实践

华为云开发者联盟

人工智能 测试 华为云 强化学习 企业号十月 PK 榜

npm 新型定时攻击或导致软件供应链安全风险

SEAL安全

npm 软件供应链攻击

计算机体系结构“圣经”新版,图灵奖得主扛鼎之作,影响无数技术人

图灵教育

计算机体系结构 图灵奖

群主发红包带你深入了解继承和super、this关键字

共饮一杯无

Java 关键字 10月月更

分布式ID生成服务的技术原理和项目实战

百度Geek说

数据库 redis 分布式 企业号十月 PK 榜

Go语言入门01—数据类型

良猿

Go golang 10月月更

git clone开启云上AI开发

华为云开发者联盟

人工智能 云计算 华为云 企业号十月 PK 榜

极客时间运维进阶训练营第一周作业

忙着长大#

极客时间

.NET开发者转型AI?只需要学会这个工具!

博文视点Broadview

在线问题反馈模块实战(四):封装通用字段类

bug菌

springboot 项目实战 10月月更

在线问题反馈模块实战(六):接口文档定义

bug菌

springboot 项目实战 10月月更

Linux下内存空间分配、物理地址与虚拟地址映射

DS小龙哥

10月月更

优雅代码的秘密,都藏在这6个设计原则中

小小怪下士

Java 接口

快速体验React开发基础入门指南

CoderBin

前端 框架学习 #web react redux 10月月更

Redis哨兵机制了解一下

芥末拌个饭吧

后端 redis 底层原理 10月月更

Redis的string内存消耗为何如此之大

芥末拌个饭吧

后端 redis 底层原理 10月月更

如果你看不懂别人画的 UML 类图,看这一篇文章就够了

跟着飞哥学编程

Java设计模式 10月月更 UML类图

HashMap源码分析(二)

知识浅谈

hashmap 10月月更

图解 | 聊聊 MyBatis 缓存

悟空聊架构

缓存 一级缓存 悟空聊架构 10月月更 myabtis

2019年热门开源项目的安全漏洞增加一倍_安全_万佳_InfoQ精选文章