写点什么

开源安全报告:70% 的应用程序存在库引入的漏洞

  • 2020-05-27
  • 本文字数:987 字

    阅读完需:约 3 分钟

开源安全报告:70%的应用程序存在库引入的漏洞


近日,网络安全公司 Veracode 发布“The State of Software Security (SOSS): Open Source Edition”报告。据悉,这份报告分析了 Veracode 平台数据库中 85000 个应用程序的开源组件库,其中包含 351000 个唯一的外部库。Veracode 公司的首席研究员 Chris Eng 表示,开源软件的漏洞多样,让人吃惊!


报告发现,70%的应用程序在初始扫描的开源库中存在安全漏洞。其他重大发现:


  • 每种语言在超过 75%的应用程序中都包含最常用的库;

  • 应用程序中 47%的漏洞库都是传递的;

  • JavaScript 中超过 61%的漏洞库不包含 CVE 对应的漏洞;

  • 使用任何给定的 PHP 库,有超过 50%的机会可能带来安全漏洞;

  • 可以通过较小的版本升级来解决大多数库引入的漏洞


为获得应用安全风险的更多信息,Veracode 分析了库的依赖。许多传递依赖项可能是潜在的攻击面,并会带来意想不到的维护工作负载。


该报告还按照编程语言研究了应用程序通常在哪里获取依赖项。分析人员查看了每个应用程序,从而确定何种编程语言会给维护人员带来意想不到的结果。


研究人员发现,JavaScript、Ruby、PHP 和 Java 的大部分攻击面来自于 transitive inclusions,而.NET、Swift 和 Go 有更直接的依赖性。



此外,研究者也发现来自“Open Web Application Security Project Top 10名单”上的漏洞。


  • Injection(注入漏洞)

  • Broken Authentication(中断身份认证)

  • Sensitive data exposure(敏感数据泄露)

  • XML external entities(XML 外部处理器漏洞)

  • Broken access control(中断访问控制)

  • Security misconfiguration(安全配置错误)

  • Cross-site scripting(XSS)(跨站脚本攻击)

  • Insecure deserialization(不安全的反序列化)

  • Using components with known vulnerabilities(使用含有已知漏洞的组件)

  • Insufficient logging& monitoring(不足的记录和监控漏洞)


根据研究结果,开源库中最普遍的漏洞如下:


  1. 30%的库中发现跨站脚本攻击(XSS);

  2. 23.5%的库中存在不安全的反序列化漏洞;

  3. 20.5%的库中有中断访问控制漏洞


研究者还发现,与其他语言相比,PHP 问题最多,有超过 40%的 PHP 库存在跨站脚本问题以及更严重的中断访问控制和身份认证问题。


不过,尽管 Veracode 分析的几乎每个应用程序都存在因库引入的一些漏洞,但它也指出,补救措施很容易。


经过分析,Veracode 公司的研究人员发现:有 74%的漏洞可以通过更新来解决。同时,这些更新中的大多数都是较小的修复或修补程序,占 71%。


2020-05-27 15:461200

评论

发布
暂无评论
发现更多内容

MySQL 数据存储/索引/事务隔离级别/主从复制/分库分表

赖猫

c++ MySQL 数据库 后台开发 后端

模块一作业

bob

「架构实战营」

从Spring到Spring Boot

风翱

springboot 10月月更

官方线索|1024 51CTO 程序员嘉年华

穿过生命散发芬芳

1024我在现场

JavaScript 中优雅处理对象的6个方法

devpoint

JavaScript Object 10月月更

MyBatis原生批量插入的坑与解决方案!

王磊

mybatis springboot

Go 中 defer 关键字

baiyutang

golang 10月月更

自定义 View:三维旋转

Changing Lin

10月月更

【设计模式】第六篇 - 工厂方法模式

Brave

设计模式 工厂模式 10月月更

崎岖的矿山路:无人矿卡的那些难题与智变

脑极体

网络安全等保:Oracle数据库测评

网络安全学海

网络安全 信息安全 渗透测试 WEB安全 安全漏洞

AI产业化加速时代,中国大学生何以勇攀时代高峰?

脑极体

linux之lsof使用技巧

入门小站

Linux

分析型CRM软件能帮到你什么?

低代码小观

企业 企业管理 CRM 管理工具 系统管理

持币生息钱包软件系统开发资料(源码)

制造业中的云计算:从不可能到不可或缺

云计算

PP-OCR

春秋易简

在体制内做事的八个建议

石云升

学习笔记 职场经验 10月月更

前端flex布局最全文档,工作学习中复习必备

你好bk

html css3 大前端 html/css

2021年南通市正规等保测评机构有几家?叫什么名称?

行云管家

网络安全 等级保护 等保测评

科技热点周刊|GitLab 上市、LinkedIn 中国停止运营、Visual Studio 2022 正式版将发布

青云技术社区

云计算 云原生 云安全

Prometheus 查询操作符(二) 向量匹配

耳东@Erdong

Prometheus 10月月更

协作型CRM软件能帮到你什么?

低代码小观

企业 企业管理 CRM 管理系统 管理工具

音视频学习 -- 弱网对抗技术相关实践

声网

音视频 网络 实时视频

【架构实战营】模块一

衣谷

架构实战营

Java 面试八股文之数据库篇(二)

Dobbykim

音视频:H.264与H.265编码

程序员架构进阶

视频编解码 视频流 H.265 10月月更

听说,99% 的 Go 程序员都被 defer 坑过

AlwaysBeta

golang defer panic recover Go 语言

微服务中服务注册和发现的可行性方案

看山

微服务 10月月更

架构训练营-模块一

Geek_9de3de

架构实战营

未来云原生 | CIF 论坛精彩看点

CODING DevOps

DevOps 云原生 数字化 标准化 腾讯云 CIF 峰会

开源安全报告:70%的应用程序存在库引入的漏洞_安全_Veronica Combs_InfoQ精选文章