RiskSense 發(fā)布了一份新報告，該報告提供了有關(guān)目前熱門的開源軟件中漏洞的深入發(fā)現(xiàn)，其中包括武器化漏洞數(shù)、哪種軟件最容易受到威脅、攻擊的最主要類型等內(nèi)容。

　　該報告并沒有包含 Linux、WordPress、Drupal 等這些經(jīng)常受到監(jiān)控的超級流行項目。而是觀察了一些對大眾來說并不是很知名，但卻被技術(shù)和軟件社區(qū)廣泛采用的其他熱門開源項目，其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。

　　RiskSense 查看了 50 個最受歡迎的開源軟件項目，發(fā)現(xiàn)：

• 漏洞涵蓋了從開發(fā) / 測試、編排、容器以及工作負(fù)荷之內(nèi)的現(xiàn)代開發(fā)的所有階段
• 開源正以前所未有的速度產(chǎn)生新的漏洞
• 國家漏洞數(shù)據(jù)庫(NVD)列表在開源軟件漏洞方面很落后 – 特別是對于那些具有最高 CVSS 嚴(yán)重性的漏洞。

　　報告結(jié)果表明，這些開源軟件中的總漏洞數(shù)在 2019 年增加了一倍以上， 從 2018 年的 421 個增長到了去年的 968 個。并指出，將開源軟件漏洞添加到國家漏洞數(shù)據(jù)庫(NVD)所需的時間非常長，從公開披露到包含，平均需要 54 天。這種延遲可能導(dǎo)致組織在近兩個月的時間內(nèi)仍面臨嚴(yán)重的應(yīng)用程序安全風(fēng)險。且這種長時間的延遲存在于在所有級別的漏洞上，包括被評為 “嚴(yán)重”的漏洞和已被武器化的漏洞。

　　RiskSense 首席執(zhí)行官 Srinivas Mukkamala 表示：“雖然開源代碼因為是經(jīng)過眾包審查以發(fā)現(xiàn)問題，通常被認(rèn)為比商業(yè)軟件更安全，但這項研究表明開源軟件漏洞正在上升，并且可能成為許多組織的盲點。” “由于開源代碼在當(dāng)今到處都有使用和重用，一旦發(fā)現(xiàn)漏洞，它們將產(chǎn)生難以置信的深遠(yuǎn)影響。”

　　其他發(fā)現(xiàn)包括有，Jenkins 自動化服務(wù)器總體上擁有最多的 CVE，數(shù)量為 646。緊隨其后的是 MySQL，數(shù)量為 624。同時，這兩個開源軟件項目的武器化漏洞也各占 15 個。相比之下，HashiCorp 的 Vagrant 總共只有 9 個 CVE，但是其中包含了 6 個武器化漏洞。

　　此外，Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 也都存在著一些流行漏洞。而跨站點腳本(XSS)和輸入驗證漏洞則是該研究中最常見和武器化程度最高的漏洞之一。

　　可從 RiskSense 網(wǎng)站獲取報告全文。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。