freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

开源软件安全性研究:流行的开源项目中漏洞数量在2019年翻了一倍
2020-07-05 11:24:41

1592131586_5ee6000235c35.jpg!small

近期,安全专家们对目前最热门的54个开源项目进行了分析和研究,并且发现这些开源工具中存在的安全漏洞数量在2019年翻了一倍。因为2018年相同开源项目中的漏洞仅为421个,而在去年这些项目中的漏洞数量激增为了968个。

根据RiskSense近期发布的《The Dark Reality of Open Source》报告,RiskSense的安全研究专家在2015年至2020年3月份之间,在当前热门的开源项目中总共发现并报告了2694个安全漏洞。但是,这份报告中并没有涵盖类似Linux、WordPress、Drupal等非常热门的免费工具或项目,因为这些项目是经常被安全人员监控着的,这些项目中一旦出现了安全漏洞,也会在很短的时间内得到修复。

但是,RiskSense关注的是其他热门的开源项目,相比上述的开源项目来说,这些项目的关注度并没有那么高,但是它们仍然被技术社区和软件社区所广泛使用,比如说Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。

RiskSense的研究人员表示,他们在研究过程中发现的一个主要问题是,他们分析的大量安全漏洞都是已经在被公开披露数周后才被上报给国家漏洞数据库(NVD)的。研究人员表示,在这54个项目中被发现的漏洞,平均需要54天天才能被上报给NVD,而针对PostgreSQL的漏洞报告甚至会延长至8个月才能得到上报。

下面给出的是RiskSense提供的项目漏洞报告延迟天数表:

1592131595_5ee6000be2348.png!small

由于网络安全和IT软件公司大多都会使用NVD数据库来创建和发送安全警报,而漏洞报告的延迟将导致公司组织或旗下产品暴露在安全风险之下。除此之外,这种漏洞报告延迟还将允许网络犯罪分子拥有充足的时间来开发和部署漏洞利用程序,并丰富自己的武器库。

RiskSense的研究人员表示,在他们所分析的54个热门开源项目中,针对Jenkins自动化服务器和MySQL数据库服务器的漏洞利用工具是自2015年以来最多的,分别都有15个已成熟的武器化漏洞利用工具。

下面给出的是各个开源项目对应的CVE漏洞数量以及漏洞利用工具数量:

1592131609_5ee600198d934.png!small

由此可见,漏洞数量其实跟漏洞利用工具数量之间并没有直接的联系。

虽然其他开源项目的安全漏洞较少,但这些安全漏洞有时更容易被武器化,例如Vagrant虚拟化软件和Alfresco内容管理系统。

下面给出的是各个项目漏洞武器化CVE百分比:

1592131625_5ee6002900edf.png!small

在现在所有的商业软件项目中,开源项目几乎占了99%,毫无疑问,现在正是需要改进开源项目内部以及整个行业处理安全漏洞的方式的最佳时机。这一点,比以往任何时候都更加紧要,因为“开源项目正在以历史上最快的速度产生新的漏洞”。

参考来源

zdnet

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞 # 开源安全工具 # 开源软件
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑