站长之家首页 > 数说 > 开源最新资讯 > 正文

C/C++ 最易受攻击、70% 漏洞无效,揭秘全球开源组件安全现状

2019-09-09 16:31 · 稿源:CSDN公众号

黑客 代码 安全漏洞 程序

声明:本文来自于微信公众号 CSDN(ID:CSDNnews),作者:whitesource,授权站长之家转载发布。

开源是一种精神,更是一种合作共赢的模式。不过如今的开源生态虽然得以让诸多的程序员、技术人们学习、修改以及以任何目的向任何人分发开源软件,但是这并不意味着足够的安全。在本文中,我们将从最新发布的《开源漏洞管理现状》中深入了解开源组件安全的现状与趋势。

作者 | whitesource

译者 | 弯月,责编 | 屠敏

出品 | CSDN(ID:CSDNnews)

以下为译文:

如今,使用开源已经成为一种主流的做法,如果没有开源,你就无法跟上当今软件生产的步伐。由于使用开源的人越来越多,因此开源的漏洞也急剧增加,这就需要各个开发团队解决日益剧增的开源安全问题。

在这份名为《开源漏洞管理现状》的报告中,我们将深入探查开源管理。为此,我们采访了 650 多名开发人员,并从NVD、安全专家、业内漏洞审核数据库以及流行的开源问题追踪器等渠道收集了数据,这份报告将为您呈现开源安全管理的最新状况。我们的使命是,确定这个行业目前的状况,并了解未来几年的发展方向。

该报告有以下四点主要发现:

1. 开源漏洞数量的急剧上升,给负责安全目标的开发和安全团队带来了严峻的挑战。

2. 开发人员花费大量时间来解决开源漏洞,但由于缺乏标准实践和以开发人员为中心的工具,因此他们的效率非常低下。

3. 开源漏洞的优先级策略对于确保公司按时解决最紧迫的问题至关重要。

4. 可靠的开源漏洞修复优先级划分,可以将安全警报降低70%-80%。

开源安全漏洞数量在急剧上升

开源漏洞数量的急剧上升给负责安全目标的开发和安全团队带来了严峻的挑战。

已发现的开源漏洞数量急剧飙升,截止到 2017 年,已有将近3, 500 个漏洞。

根据我们从NVD、安全专家、业内漏洞审核数据库以及流行的开源问题追踪器收集到的数据表明, 2017 年发现的开源软件漏洞数量比 2016 年增长了50%以上。而且我们发现 2018 年这个数字还有继续上扬的趋势。

造成这一局面的原因可以归结为,随着开源组件的广泛采用,软件开发社区开始关注开源安全;同时公开数据的泄露也让开发社区提高了安全漏洞的意识。

2017 年开源软件漏洞数量增长了51.2%

在调查中,我们采访了来自美国和西欧的 650 名开发人员,向他们征询有关实践以及使用开源时遇到的问题。

调查显示,只有极少数开发人员由于公司的政策等问题而没有采用开源组件。而使用开源的开发人员则形成了对开源的依赖。

96.8%的开发人员依赖于开源组件,因此他们受到了最近已知漏洞数量增加的严重影响。

开源组件的使用频率

由于大多数已发现的开源软件漏洞皆存在于为数不多的几个项目中——最受欢迎的项目,因此这种风险更加严重。

开源项目越受欢迎,社区规模越大,就越会吸引安全研究人员的“眼球”。随着越来越多贡献者的关注,每个月都会有人发现并公布更多安全与质量的问题。

根据我们的调查,7.5%的开源项目都很脆弱。在排名前 100 的最受欢迎项目中,32%都存在脆弱性。

虽然一个漏洞就足以让多个库面临风险,但平均每个易受攻击的开源项目中包含 8 个漏洞。

已知开源漏洞数量最多的十大开源项目中包含了我们熟悉的项目,也是我们的许多产品所依赖的项目。

这些项目中的大多数都是面向互联网前端的组件,而且有大量暴露在外可被攻击的方面,因此它们相对容易被利用和吸引大量关注,这绝非巧合。

另外,有趣的是这些项目中的大多数背后都有商业公司的支持。请注意,大量的漏洞报告通常意味着社区在积极地维护该项目,并不代表该项目的安全标准差。

漏洞数量最多的十大开源项目

在下列最易受攻击的语言列表中,C/C++遥遥领先,占所有漏洞报告的41%。JavaScript是最常用的编程语言之一,但它仅占第 4 位,仅有7%的漏洞。

漏洞数量最多的七大编程语言

但是,这并不是一件坏事。

安全意识的提高也会促进社区提供建议修复,通常他们会在几天内发布修复。

开源社区为97.4%的漏洞报告提供了至少一项建议修复程序。

然而,虽然开源社区在保护开源项目方面付出了艰辛的劳动,但用户无法从他们的努力中充分受益。

问题在于,有关漏洞的信息并不会在一个位置集中发布,这些信息往往分散在数百个资源中,而且通常都没有索引,因此很难搜索。

对于检测开源组件已知漏洞的开发人员来说,这将是一项长期的挑战。

在修复开源漏洞方面开发人员的效率很低

开发人员花费大量时间来解决开源漏洞,但由于缺乏标准实践和以开发人员为中心的工具,因此他们的效率非常低下。

开发人员并没有忽视开源漏洞的增加。我们的调查清楚地表明,开发人员已将开源安全漏洞视为使用开源的首要难题。

26%的开发人员认为安全漏洞是开源组件面临的最大挑战。开源软件漏洞的紧急度高于集成、功能、许可和选择。特别是,一些大型的组织更为关注开源的安全性。

使用开源组件时面临的最大挑战

我们已经在这个问题上付出了沉重的代价,开发人员每个月都要花费将近 15 个小时来处理开源漏洞(例如审查、讨论、报告和修补)。

每个月处理开源漏洞的时间

如果我们让经验丰富的开发人员负责修复开源漏洞,那么这个成本会更高。

不同级别的开发人员处理开源漏洞的时间

我们的调查还显示,在开发人员每月花费在解决开源安全漏洞的 15 个小时中,实际上只有3. 8 个小时在修复漏洞。

当询问开发人员在发现漏洞后应该怎么做时,他们没有提供明确的答案,这表明他们缺乏标准的实践方法。

由于在处理新发现的漏洞时缺乏固定的方法,所以导致他们在解决开源漏洞时的效率非常低下。

如果发现漏洞,你应该怎么做?

  • 大家在看
  • 相关推荐
  • 腾讯首度披露开源协同成果 内部代码开源率提升至70%

    腾讯今日对外发布《腾讯研发大数据报告》,披露了2019 年公司在产品及技术研发方面的重要数据,据悉,这也是腾讯自技术委员会成立以来第一次主动对外披露研发相关大数据。

  • 2019 年开源软件漏洞增长近 50%,C 语言漏洞占比最高

    ​WhiteSource 通过对 650 多个开发人员进行了调查,并从 NVD(Nartional Vulnerability Database)、安全公告、经过同行评审的漏洞数据库、问题跟踪程序等渠道收集了数据之后,整理发布了一份研究报告。该报告显示,2019 年公开的开源软件漏洞数已激增至 6000 多个,同比增长了近 50%。

  • 藏身代码背后的战疫

    为了防控疫情,许多小区实行封闭管理,居民足不出户,卖菜需求在线上爆发。步步高超市虽有到家业务,但此前模式是以门店为中心,覆盖门店半径三公里内的客户,第三方提供配送。特殊时期,原有模式存在覆盖面窄、配送成本高且运力不足的短板,提升到家业务覆盖范围和效率成为步步高面临的首要难题。

  • openEA流程应用开发平台 开源引领新潮流

    近年来,随着云计算、大数据、人工智能、物联网等新一代信息技术蓬勃发展,中国企业一直在不断增加其在世界开源软件界的贡献度及话语权,许多企业已经完成了从参与者向贡献者、成长者的升级,成为一些开源社区的重要成员、关键成员,发挥了骨干作用,在openEA开源社区里也不例外。生态背景新华三集团深耕行业三十余年,支持运营商、政府、金融、电力、能源、医疗、教育、交通、互联网、制造等百行百业数字化转型实践,产品和解决方

  • 重磅!“神策数据开源社区”官网正式上线!

    近日,神策数据开源社区官网(Sensors Data Open Source)正式上线。神策数据开源社区是一个关于数据采集的开放社区,致力于帮助企业构建数据根基,网址:http://opensource.sensorsdata.cn。立足于重构中国互联网数据根基的愿景,神策数据十分重视基础数据的采集与建模。我们希望将一些成熟的技术与国内外开发者交流与共享,并已于 2019 年 1 月正式成立供IT开发者们分享、使用与交流技术的开源社区——神策数据开源社区(Sensors D

  • 旷视发布开源深度学习框架天元 降低AI开发门槛

    旷视科技今日下午举办线上发布会,正式宣布开源新一代AI生产力平台Brain++的核心深度学习框架旷视天元(MegEngine),成为全球首个将底层框架开源的人工智能企业。

  • 怀疑开发者在“造核弹”?GitHub不断封禁开源项目

    继去年封禁伊朗等地区账号后,GitHub 今天再次封禁了一个属于微软的前端开源项目 Aurelia,理由是项目中有两名来自伊朗的外部贡献者。虽然 GitHub 首席执行官致歉表示“这次的确是个错误”,但是开发者们显然不买账:GitHub 封禁项目的行为是否太随意了?这样的行为难道不是与开源信念背道而驰吗?

  • 木兰 Mulan PSL 为何能成中国首个国际通用开源协议

    ​2 月 14 日,开源促进会(OSI,Open Source Initiative)批准了来自中国的木兰开源许可证第二版(MulanPSL v2),木兰许可正式成为一个国际化开源软件许可证(或称“协议”)。这意味着中国现在拥有了具有国际通用性、可被任一国际开源基金会或开源社区支持采用,并为任一开源项目提供服务的开源许可证。

  • 消息称滴滴将推C2C模式的汽车长短租服务

    3月25日据界面新闻报道,从滴滴知情人士处独家获悉,滴滴将依托交付中心上线C2C模式的汽车长短租服务,目前已经在长三角、珠三角地区进行小范围试水,预计将于今年 4 月份正式对外公布。不过,滴滴官方对此表示,暂时没有这样的计划。

  • 腾讯多媒体实验室重磅开源视频质量评估算法DVQA

    近日,腾讯多媒体实验室设计的基于深度学习的全参考视频质量评估算法DVQA在Github上正式开源,该算法模型的性能目前在公开测试数据集上取得业界领先成绩。开源地址:https://github.com/Tencent/DVQA国内镜像地址:https://git.code.tencent.com/Tencent_Open_Source/DVQA(登录后才能访问公开项目)腾讯工蜂源码系统为开源开发者提供完整、最新的腾讯开源项目国内镜像视听时代,音视频应用越来越广泛:直播、短视频、视频节目、音

  • 滴滴回应将推C2C模式的汽车长短租服务:暂无此计划

    据界面新闻报道,滴滴将依托交付中心上线C2C模式的汽车长短租服务,目前已经在长三角、珠三角地区进行小范围试水,预计将于今年 4 月份正式对外公布。

  • iOS 14 代码泄露,外媒提前「发布」了今年的苹果新品

    考虑到最近各种大会宣布取消,看网上爆料的理由好像更充足了一些。根据外媒 9to5Mac 的报道,他们已经获取了泄露的 iOS 14 代码,里面不仅包含下一代 iOS 系统的新功能,还透露了一些苹果新产品的信息。

  • iOS 14 代码显示苹果新 iPad 将支持全系统鼠标光标

    代码显示,通过这一次软件升级,Mac 桌面体验中的大部分光标功能都将被引入 iOS 系统。有一个不同之处可能是,如果用户几秒钟未触碰外接鼠标或触控板,则光标指针会自动消失,这是为了保证 iPad 触控优先体验而作出的让步。当用户再次尝试移动光标时,指针会重新出现。

  • 自由软件基金会计划今年推出代码托管平台forge

    自由软件基金会(FSF)在博客宣布将在今年推出代码托管协作平台("forge")以支持自由软件的开发和基础设施的搭建。FSF称,基础设施对自由软件至关重要,但许多自由软件项目开发依赖的网站不公开源代码,有的甚至还会建议或鼓励用户使用私有软件。

  • GitHub移动端APP正式上线,可以在手机上阅读以及审查代码

    3月18日据机器之心消息,GitHub Mobile APP 正式上线了,在 iOS 和安卓端都可以免费下载使用。据官方介绍,移动 app 有四个主要的特性功能值得关注。用户可以在手机上浏览代码、管理工作日程和任务、评价其他工作和项目、合并和管理分支等。

  • iOS 14 代码显示苹果将发布「iPhone 9 / Plus」两款新机

    根据现在的报道,苹果或同步推出这款手机的 Plus 版本,屏幕尺寸为 5.5 英寸。iPhone 9 系列原计划今年三月正式发布。不过鉴于目前疫情的情况,苹果可能会取消发布会,选择直接在官网发布新品。

  • 旷视科技宣布开源新一代AI生产力深度学习框架“天元”

    3月25日下午,旷视科技举办线上发布会,宣布开源新一代AI生产力平台Brain++的核心深度学习框架旷视天元(MegEngine)。天元框架通过训练、推理一体化的机制省去模型转换的过程,可直接将训练后的模型进行推理,并保证跨设备的模型精度对齐,同时天元内置自动模型优化、简化流程,减少因手工操作的机会,降低出错概率。

  • 微信宣布联合Facebook、WHO向全球征集代码 一同抗疫

    这些科技企业将邀请全球各地开发者,从 3 月 26 日开始,提交包括微信小程序在内的多种形式、有助于战“疫”的解决方案,一起参与一场“马拉松”开发比赛,用代码“战疫”。

  • 苹果iOS 14代码透露四款型号iPad Pro(2020)新品

    外媒9to5Mac获得了泄漏的iOS 14代码,证实了不少有关苹果即将推出的硬件产品更新(包括新的iPad Pro,iPhone 9、iPhone 9 Plus和AirTags)的许多细节。该代码表明,苹果还在开发新的Apple TV遥控器。

  • 创建“上上下下左右左右BA”代码程序员去世,享年61岁

    ​著名的Konami代码的程序员桥本和久本周去世,享年 61 岁。他创建的代码:上,上,下,下,左,右,左,右,B,A,开始(↓↓↓↓↓↓→↓→B,A,Start)已经存在了 30 多年。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议