<acronym id="ywqke"></acronym>
<acronym id="ywqke"></acronym>
<sup id="ywqke"><small id="ywqke"></small></sup><sup id="ywqke"><small id="ywqke"></small></sup><rt id="ywqke"></rt>
?
關注我們:微博 | 微信
?
當前位置:新聞資訊 > 行業動態 > 安全研究:2019年流行的開源項目漏洞數量翻了一倍
?
安全研究:2019年流行的開源項目漏洞數量翻了一倍2020-07-27

近期,安全專家們對目前最熱門的54個開源項目進行了分析和研究,并且發現這些開源工具中存在的安全漏洞數量在2019年翻了一倍。因為2018年相同開源項目中的漏洞僅為421個,而在去年這些項目中的漏洞數量激增為了968個。


根據RiskSense近期發布的《The Dark Reality of Open Source》報告,RiskSense的安全研究專家在2015年至2020年3月份之間,在當前熱門的開源項目中總共發現并報告了2694個安全漏洞。但是,這份報告中并沒有涵蓋類似Linux、WordPress、Drupal等非常熱門的免費工具或項目,因為這些項目是經常被安全人員監控著的,這些項目中一旦出現了安全漏洞,也會在很短的時間內得到修復。


但是,RiskSense關注的是其他熱門的開源項目,相比上述的開源項目來說,這些項目的關注度并沒有那么高,但是它們仍然被技術社區和軟件社區所廣泛使用,比如說Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。


RiskSense的研究人員表示,他們在研究過程中發現的一個主要問題是,他們分析的大量安全漏洞都是已經在被公開披露數周后才被上報給國家漏洞數據庫(NVD)的。研究人員表示,在這54個項目中被發現的漏洞,平均需要54天才能被上報給NVD,而針對PostgreSQL的漏洞報告甚至會延長至8個月才能得到上報。

由于網絡安全和IT軟件公司大多都會使用NVD數據庫來創建和發送安全警報,而漏洞報告的延遲將導致公司組織或旗下產品暴露在安全風險之下。除此之外,這種漏洞報告延遲還將允許網絡犯罪分子擁有充足的時間來開發和部署漏洞利用程序,并豐富自己的武器庫。


RiskSense的研究人員表示,在他們所分析的54個熱門開源項目中,針對Jenkins自動化服務器和MySQL數據庫服務器的漏洞利用工具是自2015年以來最多的,分別都有15個已成熟的武器化漏洞利用工具。

由此可見,漏洞數量其實跟漏洞利用工具數量之間并沒有直接的聯系。


雖然其他開源項目的安全漏洞較少,但這些安全漏洞有時更容易被武器化,例如Vagrant虛擬化軟件和Alfresco內容管理系統。

在現在所有的商業軟件項目中,開源項目幾乎占了99%,毫無疑問,現在正是需要改進開源項目內部以及整個行業處理安全漏洞的方式的最佳時機。這一點,比以往任何時候都更加緊要,因為“開源項目正在以歷史上最快的速度產生新的漏洞”。


信息來源:

https://mp.weixin.qq.com/s/jf_LHi6FiUULRtOaN7F-HA






? av在线观看网址-大波妺av网站-青草青草久热精品视频