一項分析前54個開源專案的研究發現,這些工具中的安全漏洞在2019年翻了一番,從2018年的421個bug到去年的968個。根據RiskSense今天釋出的 “開源的黑暗現實 “報告,該公司在2015年至2020年3月期間發現流行的開源專案中報告了2694個bug。

該報告並不包括Linux、WordPress、Drupal等超級流行的免費工具專案,因為這些專案經常受到監控,安全bug也會成為新聞,確保這些安全問題大多能相當快地得到修補。

相反,RiskSense觀察了其他流行的開源專案,這些專案並不那麼知名,但被技術和軟體社群廣泛採用。其中包括Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。

RiskSense表示,他們在研究過程中發現的一個主要問題是,他們分析的大量安全漏洞在公開披露後許多周後才被報告到國家漏洞資料庫(NVD)。該公司表示,這54個專案中發現的bug通常平均需要54天左右時間才會被報告給NVD,其中PostgreSQL的報告延遲時間達到了8個月。由於網路安全和IT軟體公司使用NVD資料庫來建立和傳送安全警報,報告延遲導致使用這些開源專案的公司仍然暴露在攻擊面前。

RiskSense表示,自2015年以來,在其分析的所有54個專案中,Jenkins自動化伺服器和MySQL資料庫伺服器的武器化漏洞最多,均為15個。雖然其他開源專案的bug較少,但這些bug有時更容易被武器化,例如Vagrant虛擬化軟體和Alfresco內容管理系統當中的bug。

RiskSense認為,現在不僅需要改進開源專案內部處理安全漏洞的方式,而且需要整個行業進行改進,因為 開源專案正在以歷史性的速度產生新漏洞。

自 cnbeta