WhiteSource 研究報告：開源漏洞在 2019 年增長近 50%

開源元件已成為當今許多軟體應用程式的基礎組成部分，這也使得其在安全性方面受到越來越嚴格的審查。根據開源管理專家  WhiteSource 釋出的一份新報告，可知 2019 年公開的開源軟體漏洞數增加到了 6000 多個，增速接近 50% 。慶幸的是，有超過 85% 的開源漏洞已被披露，且提供了相應的修復程式。

遺憾的是，開源軟體的漏洞資訊並沒有集中在一處釋出，而是分散在數百種資源中。有時索引的編制並不正確，導致搜尋特定資料成為了一項艱鉅的挑戰。

根據 WhiteSource 的資料庫，在國家漏洞資料庫（NVD）之外報告的所有開源漏洞中，只有 29％ 最終被登記在冊。

此外研究人員比較了 2019 年漏洞排名前七的程式語言，然後將之與過去十年的數量進行了比較，結果發現歷史基礎最好的 C 語言佔有最高的漏洞百分比。PHP 的相對漏洞數量也大幅增加，但沒有跡象表明其流行度有同樣的提升。儘管 Python 在開源社群中的普及率持續上升，但其漏洞百分比仍相對較低。

報告還考慮了通用漏洞評分系統（CVSS）的資料，是否是衡量補漏優先順序的最佳標準。

過去幾年中，CVSS 已進行了多次更新，以期達成為可對所有組織和行業提供支援的客觀可衡量標準。

然而在此過程中，CVSS 也改變了高嚴重性漏洞的定義。這意味著在 CVSS v2 標準下被定為 7.6 的漏洞，在 CVSS v3.0 標準下可能被評為 9.8 。對於各個開源軟體的開發團隊來說，這意味著他們面臨著更多的高嚴重性漏洞問題，導致現有超有 55% 的使用者被高嚴重性或嚴重性問題所困擾。

報導作者總結道：列表中提及的開源專案漏洞，並不意味著其本質上是不安全的。作為使用者，也應瞭解相關安全風險，並確保將開源依賴保持在最新狀態。

來源：cnBeta.COM

更多資訊

微軟釋出緊急安全更新:修復 SMBv3 協議漏洞

在本月的補丁星期二活動日上，微軟對所有受支援的 Windows 10 系統釋出了累積更新，並對 Edge、Internet Explorer 和其他元件進行了安全改進。在活動日期間，網路上意外曝光了存在於 SMBv3 協議中全新蠕蟲漏洞，為此今天微軟釋出了緊急更新對其進行了修復。

來源：cnBeta.COM

徠卡相機微信公眾號遭遇惡意攻擊 官方：正展開調查

3 月 13 日訊息，徠卡相機微信公眾號遭遇惡意攻擊。如圖所示，該公眾號釋出了一些洗髮水、護膚品等資訊。對此徠卡相機官方微博釋出宣告，表示徠卡相機官方微信賬號遭到了惡意攻擊，並未經我司允許散佈不良資訊及不實言論，對關注徠卡的使用者造成的困惑和打擾，我們深表歉意。

來源：快科技

光明日報：豈能借防疫之名隨意收集公民資訊

據報導，針對防疫中出現的非授權、超範圍採集使用個人資訊等問題，天津市委網信辦近日決定，在全市開展相關 App 違法違規收集使用個人資訊專項治理。此前，中央網信辦也釋出通知，明確要求為疫情防控收集的個人資訊，不得用於其他用途。

來源：光明日報

歐洲刑警組織逮捕了盜竊數百萬歐元的 SIM 交換攻擊駭客團伙

歐洲刑警組織在當地執法部門的幫助下，在歐洲各地進行了一系列逮捕行動，以打擊 SIM 卡交換攻擊。

歐洲刑警組織的歐洲網路犯罪中心（EC3），西班牙國家警察和西班牙國民警衛隊以“Operation Quinientos Dusim”的名義在貝尼多姆，格拉納達和巴利亞多利德逮捕了 12 名犯罪嫌疑人。 羅馬尼亞和奧地利的執法部門在“Operation Smart Cash.”下又逮捕了另外 14 名被指控的團伙成員。 

來源：ZDNet

（資訊來源於網路，安華金和蒐集整理）