首页 > 动态 > 关键词  > 开源项目最新资讯  > 正文

2019 年热门开源项目中的漏洞增加了一倍以上

2020-06-10 09:05 · 稿源: 开源中国

RiskSense发布了一份新报告,该报告提供了有关目前热门的开源软件中漏洞的深入发现,其中包括武器化漏洞数、哪种软件最容易受到威胁、攻击的最主要类型等内容。

该报告并没有包含 Linux、WordPress、Drupal 等这些经常受到监控的超级流行项目。而是观察了一些对大众来说并不是很知名,但却被技术和软件社区广泛采用的其他热门开源项目,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。

RiskSense 查看了 50 个最受欢迎的开源软件项目,发现:

  • 漏洞涵盖了从开发/测试、编排、容器以及工作负荷之内的现代开发的所有阶段
  • 开源正以前所未有的速度产生新的漏洞
  • 国家漏洞数据库(NVD)列表在开源软件漏洞方面很落后-特别是对于那些具有最高 CVSS 严重性的漏洞。

报告结果表明,这些开源软件中的总漏洞数在 2019 年增加了一倍以上,从 2018 年的 421 个增长到了去年的 968 个。并指出,将开源软件漏洞添加到国家漏洞数据库(NVD)所需的时间非常长,从公开披露到包含,平均需要54 天。这种延迟可能导致组织在近两个月的时间内仍面临严重的应用程序安全风险。且这种长时间的延迟存在于在所有级别的漏洞上,包括被评为“严重”的漏洞和已被武器化的漏洞。

RiskSense 首席执行官 Srinivas Mukkamala 表示:“虽然开源代码因为是经过众包审查以发现问题,通常被认为比商业软件更安全,但这项研究表明开源软件漏洞正在上升,并且可能成为许多组织的盲点。” “由于开源代码在当今到处都有使用和重用,一旦发现漏洞,它们将产生难以置信的深远影响。”

其他发现包括有,Jenkins 自动化服务器总体上拥有最多的 CVE,数量为 646。紧随其后的是 MySQL,数量为 624。同时,这两个开源软件项目的武器化漏洞也各占 15 个。相比之下,HashiCorp 的 Vagrant 总共只有 9 个 CVE,但是其中包含了 6 个武器化漏洞。

此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch和JBoss也都存在着一些流行漏洞。而跨站点脚本(XSS)和输入验证漏洞则是该研究中最常见和武器化程度最高的漏洞之一。

举报

  • 相关推荐
  • 大家在看
  • 加大股票回购力度:王传福提议将回购金额增加一倍

    快科技2月25日消息,比亚迪汽车今日发布公告表示:公司于2024年2月22日收到公司实际控制人、董事长兼总裁王传福《关于提议比亚迪股份有限公司增加回购公司A股股份金额的函》。王传福在公告中表示:提议将回购金额由人民币2亿元增加至人民币4亿元,并用于减少注册资本。而回购股份价格上限不高于公司董事会审议通过回购股份方案决议前30个交易日公司股票交易均价的150%。此前,王传福就曾表示,公司通过集中竞价交易方式回购部分公司A股股份。提议回购股份的资金总额2亿元,具体以董事会及股东大会审议通过的回购股份方案为准。比亚迪表示?

  • 用Vision Pro实时训练机器狗,MIT博士生开源项目火了

    VisionPro又现火爆新玩法,这回还和具身智能联动了~就像这样,MIT小哥利用VisionPro的手部追踪功能,成功实现了对机器狗的实时控制。不仅开门这样的动作能精准get:也几乎没什么延时。作者本人也在论文中写道:最后,提醒一下,如果你想上手试一试这个开源项目,那么除了必备一台VisionPro之外需要准备:苹果开发者账户VisionPro开发者配件安装了Xcode的Mac电脑嗯,看样子还是得先让苹果赚一笔了。

  • 点评14个热门的搞钱项目

    各位村民好,我是村长每天大家都能刷到各种所谓大佬分享的赚钱项目,比如书单号、淘客CPS、私域团购、小说推文、付费社群、头条号等等。同样的项目,少则有收费几十元的资料包,贵则有几千上万的学徒班。它都需要你具备一定的认知、人脉、货源、时间、试错成本等,不要着急赚钱被割了韭菜。

  • aiwechat-vercel官网体验入口 AI微信公众号集成AI功能开源项目免费使用地址

    aiwechat-vercel是一个使用vercel的functions,将ai功能加入微信公众号的开源项目。它提供支持接入gpt、星火、通义千问、gemini等AI功能,具有超时回复、连续问答、图床功能等特点。要了解更多关于aiwechat-vercel的信息并开始使用该工具,请访问aiwechat-vercel官方网站。

  • MIT博士生用Vision Pro实时训练机器狗 开源项目Tracking Steamer火了

    MIT博士生利用VisionPro开源项目成功实现了对机器狗的实时训练。TrackingSteamer这一应用程序通过追踪人类动作,并将数据传输到其他机器人设备,为未来与机器人互动提供了新方式。虽然项目需要使用VisionPro设备和开发者配件,但这不影响人们对其开源项目的兴趣和关注,展现了对未来科技发展的热切期待。

  • MDTv2开源,Sora 核心组件 DiT 训练提速 10

    由颜水成和程明明领衔的研究团队在Sora核心技术上进行了重要的升级,推出了MaskedDiffusionTransformerV2。该模型在ImageNetbenchmark上取得了惊人的成绩,FIDscore达到1.58,刷新了State-of-the-Art。这一工作符合Sora的期望,通过生成模型构建物理世界模拟器的理念,为未来的表征学习和生成学习研究提供了有力的启示。

  • 2017年以来最强太阳耀斑爆发!中国夸父一号拍到了

    快科技3月6日消息,根据国家空间天气监测预警中心发布的信息,北京时间2月23日6时34分,太阳爆发了第25太阳活动周迄今强度最大的耀斑,达到X6.3级,也是2017年以来的新高。我国的综合性太阳探测专用卫星夸父一号”,对此次太阳耀斑爆发进行了全程观测。夸父一号”卫星2022年10月9日发射,2023年9月正式交付给中国科学院紫金山天文台管理,进入在轨科学运行阶段,累计记录约500TB原始太阳观测数据。夸父一号”卫星全称先进天基太阳天文台(ASO-S),核心科学目标是一磁两暴”,即太阳磁场、太阳耀斑、日冕物质抛射,后两者是太阳上两类最剧

  • 阿里通义实验室开源多模态说话人项目3D-Speaker

    3D-Speaker是通义实验室语音团队贡献的一个开源项目,结合了声学、语义、视觉三维模态信息来解决说话人任务。项目涵盖了说话人日志、说话人识别和语种识别任务,提供了工业级模型、训练代码和推理代码。3D-Speaker项目在说话人任务中探索了多模态信息的结合应用,提供了一系列有效的技术解决方案和开源资源,为语音研究领域的发展做出了贡献。

  • 大国重器上新!比太阳亮万亿 HEPS预计2024年发射第一束光

    快科技2月29日消息,据报道,我国首台高能同步辐射光源”(HEPS)预计将于2024年发射第一束光,预计2025年完成交付并投入使用。HEPS位于北京怀柔综合性国家科学中心,由中科院、北京市共建,2019年开工,储存环主体设备于去年12月11日安装完毕,成为又一个大国重器。作为我国重大科技基础设施,高能同步辐射光源”建成后将成为世界上发射度最低、亮度最高的第四代同步辐射光源之一。官方介绍称,它可以发射比太阳亮1万亿倍的光,用最亮”的光观察最小”的微观世界,为国家解决在资源、能源、环境、人口和健康等诸多领域面临的挑战提供科学

  • 苹果2026年或将销售可折叠iPhone 仍在秘密推进该项目

    尽管曾有传闻称苹果因对折叠屏耐用性的担忧暂停了可折叠iPhone的研发,但最新消息显示,这家科技巨头仍在秘密推进该项目。据AlphaBiz从接近苹果内部计划的人士处获悉,苹果正积极研发可折叠iPhone,并计划于2026年9月或10月左右推向市场。这一变革能否如期实现,以及是否能满足市场和消费者的期待,仍有待观察。

今日大家都在搜的词: