站長資訊網RiskSense 發布了一份新報告,該報告提供了有關目前熱門的開源軟件中漏洞的深入發現,其中包括武器化漏洞數、哪種軟件最容易受到威脅、攻擊的最主要類型等內容。
該報告并沒有包含 Linux、WordPress、Drupal 等這些經常受到監控的超級流行項目。而是觀察了一些對大眾來說并不是很知名,但卻被技術和軟件社區廣泛采用的其他熱門開源項目,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。
RiskSense 查看了 50 個最受歡迎的開源軟件項目,發現:
- 漏洞涵蓋了從開發 / 測試、編排、容器以及工作負荷之內的現代開發的所有階段
- 開源正以前所未有的速度產生新的漏洞
- 國家漏洞數據庫(NVD)列表在開源軟件漏洞方面很落后 – 特別是對于那些具有最高 CVSS 嚴重性的漏洞。
報告結果表明,這些開源軟件中的總漏洞數在 2019 年增加了一倍以上, 從 2018 年的 421 個增長到了去年的 968 個。并指出,將開源軟件漏洞添加到國家漏洞數據庫(NVD)所需的時間非常長,從公開披露到包含,平均需要 54 天。這種延遲可能導致組織在近兩個月的時間內仍面臨嚴重的應用程序安全風險。且這種長時間的延遲存在于在所有級別的漏洞上,包括被評為 “嚴重”的漏洞和已被武器化的漏洞。
RiskSense 首席執行官 Srinivas Mukkamala 表示:“雖然開源代碼因為是經過眾包審查以發現問題,通常被認為比商業軟件更安全,但這項研究表明開源軟件漏洞正在上升,并且可能成為許多組織的盲點。” “由于開源代碼在當今到處都有使用和重用,一旦發現漏洞,它們將產生難以置信的深遠影響。”
其他發現包括有,Jenkins 自動化服務器總體上擁有最多的 CVE,數量為 646。緊隨其后的是 MySQL,數量為 624。同時,這兩個開源軟件項目的武器化漏洞也各占 15 個。相比之下,HashiCorp 的 Vagrant 總共只有 9 個 CVE,但是其中包含了 6 個武器化漏洞。
此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 也都存在著一些流行漏洞。而跨站點腳本(XSS)和輸入驗證漏洞則是該研究中最常見和武器化程度最高的漏洞之一。
可從 RiskSense 網站獲取報告全文。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
