2019年熱門開源項目中的漏洞增加了一倍以上
RiskSense發布了一份新報告,該報告提供了有關目前熱門的開源軟件中漏洞的深入發現,其中包括武器化漏洞數、哪種軟件最容易受到威脅、攻擊的最主要類型等內容。該報告並沒有包含Linux、WordPress、Drupal等這些經常受到監控的超級流行項目。而是觀察了一些對大眾來說並不是很知名,但卻被技術和軟件社區廣泛採用的其他熱門開源項目。
其中包括Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。
RiskSense查看了50個最受歡迎的開源軟件項目,發現:
● 漏洞涵蓋了從開發/測試、編排、容器以及工作負荷之內的現代開發的所有階段
● 開源正以前所未有的速度產生新的漏洞
● 國家漏洞數據庫(NVD)列表在開源軟件漏洞方面很落後-特別是對於那些具有最高CVSS 嚴重性的漏洞。
報告結果表明,這些開源軟件中的總漏洞數在2019 年增加了一倍以上,從2018 年的421 個增長到了去年的968 個。並指出,將開源軟件漏洞添加到國家漏洞數據庫(NVD)所需的時間非常長,從公開披露到包含,平均需要54 天。這種延遲可能導致組織在近兩個月的時間內仍面臨嚴重的應用程序安全風險。且這種長時間的延遲存在於在所有級別的漏洞上,包括被評為“嚴重”的漏洞和已被武器化的漏洞。
RiskSense 首席執行官Srinivas Mukkamala 表示:“雖然開源代碼因為是經過眾包審查以發現問題,通常被認為比商業軟件更安全,但這項研究表明開源軟件漏洞正在上升,並且可能成為許多組織的盲點。 ” “由於開源代碼在當今到處都有使用和重用,一旦發現漏洞,它們將產生難以置信的深遠影響。”
其他發現包括有,Jenkins 自動化服務器總體上擁有最多的CVE,數量為646。緊隨其後的是MySQL,數量為624。同時,這兩個開源軟件項目的武器化漏洞也各佔15 個。相比之下,HashiCorp 的Vagrant 總共只有9 個CVE,但是其中包含了6 個武器化漏洞。
此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和JBoss 也都存在著一些流行漏洞。而跨站點腳本(XSS)和輸入驗證漏洞則是該研究中最常見和武器化程度最高的漏洞之一。