2019年熱門開源項目當中的漏洞增加了一倍
一項分析前54個開源項目的研究發現,這些工具中的安全漏洞在2019年翻了一番,從2018年的421個bug到去年的968個。根據RiskSense今天發布的”開源的黑暗現實”報告,該公司在2015年至2020年3月期間發現流行的開源項目中報告了2694個bug。
該報告並不包括Linux、WordPress、Drupal等超級流行的免費工具項目,因為這些項目經常受到監控,安全bug也會成為新聞,確保這些安全問題大多能相當快地得到修補。
相反,RiskSense觀察了其他流行的開源項目,這些項目並不那麼知名,但被技術和軟件社區廣泛採用。其中包括Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。
RiskSense表示,他們在研究過程中發現的一個主要問題是,他們分析的大量安全漏洞在公開披露後許多周後才被報告到國家漏洞數據庫(NVD)。該公司表示,這54個項目中發現的bug通常平均需要54天左右時間才會被報告給NVD,其中PostgreSQL的報告延遲時間達到了8個月。由於網絡安全和IT軟件公司使用NVD數據庫來創建和發送安全警報,報告延遲導致使用這些開源項目的公司仍然暴露在攻擊面前。
RiskSense表示,自2015年以來,在其分析的所有54個項目中,Jenkins自動化服務器和MySQL數據庫服務器的武器化漏洞最多,均為15個。雖然其他開源項目的bug較少,但這些bug有時更容易被武器化,例如Vagrant虛擬化軟件和Alfresco內容管理系統當中的bug。
RiskSense認為,現在不僅需要改進開源項目內部處理安全漏洞的方式,而且需要整個行業進行改進,因為開源項目正在以歷史性的速度產生新漏洞。