RiskSense 發(fā)布了一份新報(bào)告，該報(bào)告提供了有關(guān)目前熱門的開(kāi)源軟件中漏洞的深入發(fā)現(xiàn)，其中包括武器化漏洞數(shù)、哪種軟件最容易受到威脅、攻擊的最主要類型等內(nèi)容。

　　該報(bào)告并沒(méi)有包含 Linux、WordPress、Drupal 等這些經(jīng)常受到監(jiān)控的超級(jí)流行項(xiàng)目。而是觀察了一些對(duì)大眾來(lái)說(shuō)并不是很知名，但卻被技術(shù)和軟件社區(qū)廣泛采用的其他熱門開(kāi)源項(xiàng)目，其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。

　　RiskSense 查看了 50 個(gè)最受歡迎的開(kāi)源軟件項(xiàng)目，發(fā)現(xiàn)：

• 漏洞涵蓋了從開(kāi)發(fā) / 測(cè)試、編排、容器以及工作負(fù)荷之內(nèi)的現(xiàn)代開(kāi)發(fā)的所有階段
• 開(kāi)源正以前所未有的速度產(chǎn)生新的漏洞
• 國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)列表在開(kāi)源軟件漏洞方面很落后 – 特別是對(duì)于那些具有最高 CVSS 嚴(yán)重性的漏洞。

　　報(bào)告結(jié)果表明，這些開(kāi)源軟件中的總漏洞數(shù)在 2019 年增加了一倍以上， 從 2018 年的 421 個(gè)增長(zhǎng)到了去年的 968 個(gè)。并指出，將開(kāi)源軟件漏洞添加到國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)所需的時(shí)間非常長(zhǎng)，從公開(kāi)披露到包含，平均需要 54 天。這種延遲可能導(dǎo)致組織在近兩個(gè)月的時(shí)間內(nèi)仍面臨嚴(yán)重的應(yīng)用程序安全風(fēng)險(xiǎn)。且這種長(zhǎng)時(shí)間的延遲存在于在所有級(jí)別的漏洞上，包括被評(píng)為 “嚴(yán)重”的漏洞和已被武器化的漏洞。

　　RiskSense 首席執(zhí)行官 Srinivas Mukkamala 表示：“雖然開(kāi)源代碼因?yàn)槭墙?jīng)過(guò)眾包審查以發(fā)現(xiàn)問(wèn)題，通常被認(rèn)為比商業(yè)軟件更安全，但這項(xiàng)研究表明開(kāi)源軟件漏洞正在上升，并且可能成為許多組織的盲點(diǎn)。” “由于開(kāi)源代碼在當(dāng)今到處都有使用和重用，一旦發(fā)現(xiàn)漏洞，它們將產(chǎn)生難以置信的深遠(yuǎn)影響。”

　　其他發(fā)現(xiàn)包括有，Jenkins 自動(dòng)化服務(wù)器總體上擁有最多的 CVE，數(shù)量為 646。緊隨其后的是 MySQL，數(shù)量為 624。同時(shí)，這兩個(gè)開(kāi)源軟件項(xiàng)目的武器化漏洞也各占 15 個(gè)。相比之下，HashiCorp 的 Vagrant 總共只有 9 個(gè) CVE，但是其中包含了 6 個(gè)武器化漏洞。

　　此外，Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 也都存在著一些流行漏洞。而跨站點(diǎn)腳本(XSS)和輸入驗(yàn)證漏洞則是該研究中最常見(jiàn)和武器化程度最高的漏洞之一。

　　可從 RiskSense 網(wǎng)站獲取報(bào)告全文。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。