bug越找越多,19年開源專案中bug數量激增近50%
大資料文摘出品
來源:theregister
編譯:lin
根據安全業務機構WhiteSource的資料,2019年開源專案中的漏洞bug報告數量激增了近50%,某種意義上講這是件好事,因為你是無法發現那些你不去找的bug的。
在其年度漏洞bug報告中,該公司將bug數量的增長歸因於對開源安全性意識的提高。這是由於近年來開放原始碼元件的廣泛採用以及社群整體發展的結果,更不用說媒體對資料公開的關注了。
換句話說,bug一直在那,但是因為我們更加關注所以他們變得更加易見。
去年有超過6000個開源bug被報告,從僅僅有約4000個漲上來。
在一封給使用者的電子郵件中,WhiteSource的CEO見聯合創始人Rami Sass說:“沒有完美的程式碼,總有些bug會被發現。”
“開源漏洞bug的問題是,像開源社群中的所有事物一樣,一旦報告了,那所有資訊都是公開的,並且每個初學者都可以瞭解該bug並加以利用,然後在大量應用程式上執行該bug。”
從好的方面來說,其中85%的漏洞bug在披露時已得到修復,這樣bug也算沒白找。
但是,社群對漏洞bug的意識並沒有轉化為關於bug的有效溝通。最終,只有84%的已知開源漏洞bug最終出現在國家bug資料庫(NVD)上,並且經常都有延遲。
根據WhiteSource的資料,當漏洞bug在NVD之外報告時,最終只有29%的bug在該處釋出。這意味著可能不容易找到bug資訊,並且很可能不會得到及時修復。
儘管如此,WhiteSource還是公開表揚了像GitHub的安全實驗室那樣的以社群為中心的舉措,可以幫助安全研究人員,專案維護人員和軟體使用者更容易地報告問題以及彙集資訊。
該調查還研究了不同程式語言的開源專案漏洞bug的數量以及這些數量隨著時間的變化。
WhiteSource表示C仍然是bug率最高的程式語言,因為就程式碼行數而言C是最受歡迎的語言,但是隨著其他語言的流行,C的數量呈下降趨勢。
該報告指出,儘管,“PHP的相對漏洞bug數量已經顯著增加,但還沒有跡象表明流行程度方面同樣有所上升。”
同時,Python試圖達到高流行度但低bug率。報告說:“希望這是安全編碼實踐的結果,而不是對Python專案的安全性研究不嚴格的結果。”
2019年最最常見的弱點列舉(CWEs)如下:
通過對程式語言進行分析,在除C外的所有語言中均排名前三位的如下:
WhiteSource將這些缺陷在各種語言中的共性歸因於使用自動掃描工具,這些工具知道如何查詢這些特定問題。該公司還指出,資訊公開只是跨語言的普遍問題。
Sass說:“ CWE-79(跨站點指令碼)是攻擊者最容易利用的漏洞bug之一,因為有許多的自動化工具,導致即使是“新手”黑客也可以利用它。” Sass指出CWE代表一個分類而不是一個特定的漏洞。
“隨著開源社群使用量的巨大增長,攻擊者開始發現利用開源漏洞bug的潛力。CWE-79漏洞是輕鬆輕鬆地進行黑客攻擊的首選漏洞bug。考慮到這一點,它的大規模增長就很合邏輯了。”
隨著漏洞報告數量的增加,開發團隊受益於可以優先解決關鍵漏洞bug,然後再檢視不太嚴重的漏洞。由於通用漏洞評分系統(CVSS)評估漏洞嚴重性的方式發生了變化,這已變得愈發複雜。
CVSSv2於2007年6月首次亮相,CVSSv3是2015年6月,CVSSv3.1於2019年6月釋出。每個都對構成高危漏洞的定義稍有不同。
根據WhiteSource的說法,最大的變化來自從v2到v3的遷移,v2下的一個7.6的嚴重bug(以10為基數)在v3下重新定義為9.8。
WhiteSource認為,在v3.1下,嚴重性分佈不是正態分佈,其中17%的漏洞bug為嚴重bug,只有2%的漏洞bug為低階。
這意味著超過一半的額定bug是關鍵bug或高危bug,這使得當所有問題都應立即修復時,很難確定優先順序。
Sass說:“隨著報告的漏洞數量增加,修補這些漏洞的緊迫性也隨之增加。” “儘管如此,開發團隊依然正在努力跟上步伐。”
相關報導:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31562039/viewspace-2682916/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 開源專案Bug懸賞任務
- 給找 Bug 的工具(larastan)找 BugAST
- 在專案中遇到的一些bug
- 如何正確的找BUG
- 機器人偽裝成人類在 GitHub 上為開源專案修復 bug機器人Github
- AI找Bug,一鍵快速預測AI
- 一起來找bug茬-01
- 終極找 bug 大法 - 二分
- 開源專案「喵爪」尋找小夥伴啦
- Docker 快速搭建redmine 專案管理 BUG追蹤Docker專案管理
- 我給 Apache 頂級專案提了個 BugApache
- vue專案前端匯出word檔案(bug解決)Vue前端
- 越來越多的管理工具開始上雲,專案管理上雲可靠嗎?專案管理
- 偶然發現的bug————越權訪問漏洞追溯
- [BUG反饋]模型中刪除欄位的BUG模型
- 尋找在 GitHub 上參與開源專案的方法Github
- 專案管理工具“禪道”與bug相關專案管理
- [BUG反饋]文件模型bug模型
- [BUG反饋]安裝bug?
- Unity下Bug修復神器InjectFix正式對外開源Unity
- Laravel 專案一次釋出導致的 BUG(環境變數問題)Laravel變數
- 分治與遞迴-找k個臨近中位數的數遞迴
- 還在為找開源專案發愁麼?或許這個專案能幫助你
- 給Chrome“捉蟲”16000個,Google開源bug自檢工具ChromeGo
- 線上專案出BUG沒法除錯?這款阿里開源的診斷神器,自帶IDEA外掛真香!除錯阿里Idea
- 理解真實專案中的 Go 併發 Bug(Understanding Real-World Concurrency Bugs in Go)Go
- [BUG反饋]Application\Admin\View\Article\sidemenu.html檔案內容取值bugAPPViewIDEHTML
- [BUG反饋]AuthGroupModel的CheckId有BUG
- [BUG反饋]模型增加欄位BUG模型
- 【bug】掘金md文字解析器bug
- [BUG反饋]OnetThink1.1.141212開發版 檔案上傳類出現多處BUG,已經修正
- 艾偉也談專案管理,找出軟體開發過程中的BUG,你需要火眼金睛專案管理
- Github 上那些開源專案的 star 數Github
- WhiteSource 研究報告:開源漏洞在 2019 年增長近 50%
- 檔案監控效能問題【BUG】
- André Staltz:2019年開源專案調查 超50%的專案收入低於貧困線
- 3 分鐘教你如何在 github 上精確的找開源專案?Github
- [BUG反饋]後臺選單管理BUG