bug越找越多，19年開源專案中bug數量激增近50%

大資料文摘出品

來源：theregister

編譯：lin

根據安全業務機構WhiteSource的資料，2019年開源專案中的漏洞bug報告數量激增了近50%，某種意義上講這是件好事，因為你是無法發現那些你不去找的bug的。

在其年度漏洞bug報告中，該公司將bug數量的增長歸因於對開源安全性意識的提高。這是由於近年來開放原始碼元件的廣泛採用以及社群整體發展的結果，更不用說媒體對資料公開的關注了。

換句話說，bug一直在那，但是因為我們更加關注所以他們變得更加易見。

去年有超過6000個開源bug被報告，從僅僅有約4000個漲上來。

在一封給使用者的電子郵件中，WhiteSource的CEO見聯合創始人Rami Sass說：“沒有完美的程式碼，總有些bug會被發現。”

“開源漏洞bug的問題是，像開源社群中的所有事物一樣，一旦報告了，那所有資訊都是公開的，並且每個初學者都可以瞭解該bug並加以利用，然後在大量應用程式上執行該bug。”

從好的方面來說，其中85％的漏洞bug在披露時已得到修復，這樣bug也算沒白找。

但是，社群對漏洞bug的意識並沒有轉化為關於bug的有效溝通。最終，只有84％的已知開源漏洞bug最終出現在國家bug資料庫（NVD）上，並且經常都有延遲。

根據WhiteSource的資料，當漏洞bug在NVD之外報告時，最終只有29％的bug在該處釋出。這意味著可能不容易找到bug資訊，並且很可能不會得到及時修復。

儘管如此，WhiteSource還是公開表揚了像GitHub的安全實驗室那樣的以社群為中心的舉措，可以幫助安全研究人員，專案維護人員和軟體使用者更容易地報告問題以及彙集資訊。

該調查還研究了不同程式語言的開源專案漏洞bug的數量以及這些數量隨著時間的變化。

WhiteSource表示C仍然是bug率最高的程式語言，因為就程式碼行數而言C是最受歡迎的語言，但是隨著其他語言的流行，C的數量呈下降趨勢。

該報告指出，儘管，“PHP的相對漏洞bug數量已經顯著增加，但還沒有跡象表明流行程度方面同樣有所上升。”

同時，Python試圖達到高流行度但低bug率。報告說：“希望這是安全編碼實踐的結果，而不是對Python專案的安全性研究不嚴格的結果。”

2019年最最常見的弱點列舉（CWEs）如下：

透過對程式語言進行分析，在除C外的所有語言中均排名前三位的如下：

WhiteSource將這些缺陷在各種語言中的共性歸因於使用自動掃描工具，這些工具知道如何查詢這些特定問題。該公司還指出，資訊公開只是跨語言的普遍問題。

Sass說：“ CWE-79（跨站點指令碼）是攻擊者最容易利用的漏洞bug之一，因為有許多的自動化工具，導致即使是“新手”駭客也可以利用它。” Sass指出CWE代表一個分類而不是一個特定的漏洞。

“隨著開源社群使用量的巨大增長，攻擊者開始發現利用開源漏洞bug的潛力。CWE-79漏洞是輕鬆輕鬆地進行駭客攻擊的首選漏洞bug。考慮到這一點，它的大規模增長就很合邏輯了。”

隨著漏洞報告數量的增加，開發團隊受益於可以優先解決關鍵漏洞bug，然後再檢視不太嚴重的漏洞。由於通用漏洞評分系統（CVSS）評估漏洞嚴重性的方式發生了變化，這已變得愈發複雜。

CVSSv2於2007年6月首次亮相，CVSSv3是2015年6月，CVSSv3.1於2019年6月釋出。每個都對構成高危漏洞的定義稍有不同。

根據WhiteSource的說法，最大的變化來自從v2到v3的遷移，v2下的一個7.6的嚴重bug（以10為基數）在v3下重新定義為9.8。

WhiteSource認為，在v3.1下，嚴重性分佈不是正態分佈，其中17％的漏洞bug為嚴重bug，只有2％的漏洞bug為低階。

這意味著超過一半的額定bug是關鍵bug或高危bug，這使得當所有問題都應立即修復時，很難確定優先順序。

Sass說：“隨著報告的漏洞數量增加，修補這些漏洞的緊迫性也隨之增加。” “儘管如此，開發團隊依然正在努力跟上步伐。”

相關報導：