一項分析前54個開源項目的研究發(fā)現(xiàn)��,這些工具中的安全漏洞在2019年翻了一番,從2018年的421個bug到去年的968個。根據(jù)RiskSense今天發(fā)布的 "開源的黑暗現(xiàn)實(shí) "報告,該公司在2015年至2020年3月期間發(fā)現(xiàn)流行的開源項目中報告了2694個bug。
該報告并不包括Linux、WordPress��、Drupal等超級流行的免費(fèi)工具項目��,因?yàn)檫@些項目經(jīng)常受到監(jiān)控��,安全bug也會成為新聞��,確保這些安全問題大多能相當(dāng)快地得到修補(bǔ)��。
相反��,RiskSense觀察了其他流行的開源項目��,這些項目并不那么知名��,但被技術(shù)和軟件社區(qū)廣泛采用��。其中包括Jenkins��、MongoDB��、Elasticsearch��、Chef��、GitLab��、Spark��、Puppet等工具��。
RiskSense表示��,他們在研究過程中發(fā)現(xiàn)的一個主要問題是��,他們分析的大量安全漏洞在公開披露后許多周后才被報告到國家漏洞數(shù)據(jù)庫(NVD)��。該公司表示��,這54個項目中發(fā)現(xiàn)的bug通常平均需要54天左右時間才會被報告給NVD��,其中PostgreSQL的報告延遲時間達(dá)到了8個月��。由于網(wǎng)絡(luò)安全和IT軟件公司使用NVD數(shù)據(jù)庫來創(chuàng)建和發(fā)送安全警報��,報告延遲導(dǎo)致使用這些開源項目的公司仍然暴露在攻擊面前��。
RiskSense表示��,自2015年以來��,在其分析的所有54個項目中,Jenkins自動化服務(wù)器和MySQL數(shù)據(jù)庫服務(wù)器的武器化漏洞最多��,均為15個��。雖然其他開源項目的bug較少��,但這些bug有時更容易被武器化��,例如Vagrant虛擬化軟件和Alfresco內(nèi)容管理系統(tǒng)當(dāng)中的bug��。
RiskSense認(rèn)為��,現(xiàn)在不僅需要改進(jìn)開源項目內(nèi)部處理安全漏洞的方式��,而且需要整個行業(yè)進(jìn)行改進(jìn)��,因?yàn)?開源項目正在以歷史性的速度產(chǎn)生新漏洞��。
