2019 年熱門開源項(xiàng)目中的漏洞增加了一倍以上

RiskSense 發(fā)布了一份新報(bào)告，該報(bào)告提供了有關(guān)目前熱門的開源軟件中漏洞的深入發(fā)現(xiàn)，其中包括武器化漏洞數(shù)、哪種軟件最容易受到威脅、攻擊的最主要類型等內(nèi)容。

該報(bào)告并沒有包含 Linux、WordPress、Drupal 等這些經(jīng)常受到監(jiān)控的超級流行項(xiàng)目。而是觀察了一些對大眾來說并不是很知名，但卻被技術(shù)和軟件社區(qū)廣泛采用的其他熱門開源項(xiàng)目，其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。

RiskSense 查看了 50 個(gè)最受歡迎的開源軟件項(xiàng)目，發(fā)現(xiàn)：

• 漏洞涵蓋了從開發(fā) / 測試、編排、容器以及工作負(fù)荷之內(nèi)的現(xiàn)代開發(fā)的所有階段
• 開源正以前所未有的速度產(chǎn)生新的漏洞
• 國家漏洞數(shù)據(jù)庫(NVD)列表在開源軟件漏洞方面很落后 - 特別是對于那些具有最高 CVSS 嚴(yán)重性的漏洞。

報(bào)告結(jié)果表明，這些開源軟件中的總漏洞數(shù)在 2019 年增加了一倍以上， 從 2018 年的 421 個(gè)增長到了去年的 968 個(gè)。并指出，將開源軟件漏洞添加到國家漏洞數(shù)據(jù)庫(NVD)所需的時(shí)間非常長，從公開披露到包含，平均需要 54 天。這種延遲可能導(dǎo)致組織在近兩個(gè)月的時(shí)間內(nèi)仍面臨嚴(yán)重的應(yīng)用程序安全風(fēng)險(xiǎn)。且這種長時(shí)間的延遲存在于在所有級別的漏洞上，包括被評為 “嚴(yán)重”的漏洞和已被武器化的漏洞。

RiskSense 首席執(zhí)行官 Srinivas Mukkamala 表示：“雖然開源代碼因?yàn)槭墙?jīng)過眾包審查以發(fā)現(xiàn)問題，通常被認(rèn)為比商業(yè)軟件更安全，但這項(xiàng)研究表明開源軟件漏洞正在上升，并且可能成為許多組織的盲點(diǎn)。” “由于開源代碼在當(dāng)今到處都有使用和重用，一旦發(fā)現(xiàn)漏洞，它們將產(chǎn)生難以置信的深遠(yuǎn)影響。”

其他發(fā)現(xiàn)包括有，Jenkins 自動(dòng)化服務(wù)器總體上擁有最多的 CVE，數(shù)量為 646。緊隨其后的是 MySQL，數(shù)量為 624。同時(shí)，這兩個(gè)開源軟件項(xiàng)目的武器化漏洞也各占 15 個(gè)。相比之下，HashiCorp 的 Vagrant 總共只有 9 個(gè) CVE，但是其中包含了 6 個(gè)武器化漏洞。

此外，Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 也都存在著一些流行漏洞。而跨站點(diǎn)腳本(XSS)和輸入驗(yàn)證漏洞則是該研究中最常見和武器化程度最高的漏洞之一。

可從 RiskSense 網(wǎng)站獲取報(bào)告全文。