报告:2019年开源软件漏洞增长近50%
极客时间编辑部
讲述:初明明大小:2.76M时长:03:02
来源:开源中国
你好,欢迎收听极客视点。
最近,WhiteSource 通过对 650 多个开发人员进行调查,并从美国国家漏洞数据库即 NVD(Nartional Vulnerability Database)、安全公告、经过同行评审的漏洞数据库、问题跟踪程序等渠道收集数据之后,整理发布了一份研究报告。开源中国对该报告进行了编译分析。
该报告显示,2019 年公开的开源软件漏洞数已激增至 6000 多个,同比增长了近 50%。
值得庆幸的是,其中有 85% 的漏洞已被披露,并提供了相应的修复程序。
不过报告也指出,最终只有 84% 的已知开源漏洞出现在 NVD 中。且有关漏洞的信息并没有集中在一个位置发布,而是分散在数百种资源中。因此,一旦出现索引编制不正确的状况,就会使搜索特定数据变得愈发艰难。
而报告的开源漏洞中也有 45% 不是最初就报告给 NVD 的,许多漏洞是在其他渠道中被报告数月后才在 NVD 中发布。其他渠道报告的所有开源漏洞中,也只有 29% 最终被登记在册。
此外,研究人员还对 2019 年漏洞排名前七的编程语言进行了比较,并将其与过去十年的相应漏洞数量进行了比较。结果发现,在这几种语言中,历史基础最好的 C 语言占有最高的漏洞百分比。
PHP 的相对漏洞数量也在大幅增加,但没有迹象表明其流行度有同样的提升。而 Python 方面,尽管该语言在开源社区中的普及率在持续上升,但其漏洞百分比仍相对较低。
另一方面, 该报告还考虑了通用漏洞评分系统(Common Vulnerability Scoring System)即 CVSS 的数据是不是衡量补漏优先级的最佳标准。CVSS 在过去的几年中已经进行了多次更新,以期达到对所有组织和行业提供支持的客观可衡量标准。
然而在此过程中,它也改变了高严重性漏洞的定义。例如,此举意味着之前在 CVSS v2 标准下被定为 7.6 的漏洞,在 CVSS v3.0 标准下就可能被定为 9.8,这同时也意味着开发团队会面临着更多的高严重性问题。现在,已有超过 55% 的用户具有高严重性或严重性问题。
报告预测,在 2020 年,开源软件漏洞的数量还会持续增长。不过与此同时,一些针对开源安全系统的计划也在不断推进。
最后,报告作者也总结称,“最重要的一点是,列表中提及的开源项目具有漏洞并不意味着它们就不安全。这仅意味着作为开源项目的用户,您需要了解安全风险,并确保保持开源依赖关系的最新状态。”
以上就是今天的内容,你也可以点击文末链接查看完整报告内容。
完整报告地址:
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
全部留言(1)
- 最新
- 精选
小斧漏洞无法避免,概率可以提升。1
收起评论