首页 > 动态 > 关键词 > 开源项目最新资讯 > 正文

2019 年热门开源项目中的漏洞增加了一倍以上

2020-06-10 09:05 · 稿源:开源中国

RiskSense 发布了一份新报告,该报告提供了有关目前热门的开源软件中漏洞的深入发现,其中包括武器化漏洞数、哪种软件最容易受到威胁、攻击的最主要类型等内容。

该报告并没有包含 Linux、WordPress、Drupal 等这些经常受到监控的超级流行项目。而是观察了一些对大众来说并不是很知名,但却被技术和软件社区广泛采用的其他热门开源项目,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。 

RiskSense 查看了 50 个最受欢迎的开源软件项目,发现:

  • 漏洞涵盖了从开发/测试、编排、容器以及工作负荷之内的现代开发的所有阶段 
  • 开源正以前所未有的速度产生新的漏洞 
  • 国家漏洞数据库(NVD)列表在开源软件漏洞方面很落后-特别是对于那些具有最高 CVSS 严重性的漏洞。 

报告结果表明,这些开源软件中的总漏洞数在 2019 年增加了一倍以上, 从 2018 年的 421 个增长到了去年的 968 个。并指出,将开源软件漏洞添加到国家漏洞数据库(NVD)所需的时间非常长,从公开披露到包含,平均需要 54 天。这种延迟可能导致组织在近两个月的时间内仍面临严重的应用程序安全风险。且这种长时间的延迟存在于在所有级别的漏洞上,包括被评为“严重”的漏洞和已被武器化的漏洞。

RiskSense 首席执行官 Srinivas Mukkamala 表示:“虽然开源代码因为是经过众包审查以发现问题,通常被认为比商业软件更安全,但这项研究表明开源软件漏洞正在上升,并且可能成为许多组织的盲点。” “由于开源代码在当今到处都有使用和重用,一旦发现漏洞,它们将产生难以置信的深远影响。”

其他发现包括有,Jenkins 自动化服务器总体上拥有最多的 CVE,数量为 646。紧随其后的是 MySQL,数量为 624。同时,这两个开源软件项目的武器化漏洞也各占 15 个。相比之下,HashiCorp 的 Vagrant 总共只有 9 个 CVE,但是其中包含了 6 个武器化漏洞。

此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 也都存在着一些流行漏洞。而跨站点脚本(XSS)和输入验证漏洞则是该研究中最常见和武器化程度最高的漏洞之一。

  • 相关推荐
  • 大家在看
  • 谷歌开源项目飞马PEGASUS:可以自动进行文章摘要

    谷歌于去年年底发布了一个精简型的机器语义分析项目:飞马(PEGASUS):预先机器学习及训练后的自动文章摘要项目。近期这个项目迎来的新的版本,这个小型项目可以非常精准的自动提取出文章中的摘要,并且只用一千个训练模型就可以生成媲美人类的摘要内容。 当对包括文本摘要在内的下游NLP任务进行微调时,最近针对大型文本语料库进行自我学习的目标的预训练工作已显示出巨大的成功。但是,尚未探讨为抽象文本摘要量身定制的预训练

  • 27岁程序员转职赏金猎人:一个漏洞10万美元,比工资香多了

    6 月 1 日,有报道称,印度开发者 Bhavuk Jain 向苹果安全团队报告了 Sign in with Apple(通过 Apple 登录)中存在一个零日漏洞,它允许攻击者远程劫持任意用户账户,影响严重。为此苹果向 Jain 支付了十万美元的巨额赏金。

  • 男子连续吃了十年免费外卖苦不堪言:或订餐系统漏洞所致

    让你免费吃10年的“霸王餐”你会很痛苦吗?据外媒报道称,一位比利时人在过去十年里的生活,从来没有真正下过订单,但是他却天天都有免费的外卖吃,这让他痛苦不已。报道中提到,

  • 著名开源项目Apache Doris开发者徐冬奇加入微博广告技术团队

    著名开源项目、在线分析型分布式数据库Apache Doris的主要开发者,原百度凤巢广告系统高级架构师、阿里巴巴数据智能商业化技术负责人徐冬奇,已于近日入职微博广告技术团队,担任微博广告技术总架构师。据百度内部人士爆料,Doris最初是只为解决凤巢广告报表需求而设计的专用系统。2012年徐冬奇在前百度首席架构师James Peng(前Google 核心工程师,现自动驾驶独角兽小马智行CEO)指导下,作为Dor

  • 月入两万的程序员背着电脑送外卖:甲方提需求好随时改代码

    每个人对生活都有不同的理解,也有丰富多彩的选择。据国内媒体报道,来自安徽合肥的小张毕业于安徽师范大学计算机专业,95后,毕业后从事PHP程序员工作已经三年,收入2万元左右。不过,与众

  • 字节跳动程序员期权价值过亿 28岁辞职享受人生引热议 当事人回应

    有人28岁刚刚硕士毕业,有人28岁已经实现财富自由并退休。近日,知乎一篇“如何看待年仅28岁的郭宇宣布从字节跳动退休?”引发网友热议。今年2月,郭宇在个人微博发文称:“

  • 独家专访28岁退休程序员郭宇:1600人加好友,问我“挣了多少钱”

    微信好友的“问候”排满了对话框,点开来都是雷同的标题——“ 28 岁退休的程序员xxxx”。在知乎上,“如何看待年仅 28 岁的郭宇宣布从字节跳动退休?”的问题,有近 1000 万人浏览阅读。

  • 瑞幸咖啡App小程序又崩了? 回应:系统升级出现问题 正在抢修

    针对网友反馈的“瑞幸咖啡App和小程序又崩了”一事,瑞幸咖啡官微回复称:因上周系统升级出现问题,App/小程序崩了。正在抓紧抢修,恢复正常会第一时间通知大家。4月初时,瑞幸咖啡曾出现爆单现象,也导致了App和小程序崩溃。

  • 京东数科中标江苏智慧园博项目,将打造智能文旅操作系统

    DoNews 6月4日消息(记者 向密) 京东数字科技集团宣布中标江苏园博园(一期)项目,京东数科将作为技术总牵头方负责智慧园博的项目建设工作。根据介绍,未来在云计算、5G、IoT、人工智能等新基建相关技术的支持下,京东数科将整合京东集团资源,以智能城市操作系统为数字技术底座,为江苏园博园打造智能文旅操作系统——园博超脑,与合作伙伴一起构建起一整套服务景区管理者、企业和游园旅客的智慧园博生态体系。与常规智慧景区平

  • 小鹏P7试驾撞车 ABS系统遭质疑!官方回应:驾驶员操作不当

    有网友爆料称,小鹏P7在试驾过程中ABS防抱死制动系统自动关闭,导致车辆发生事故,对此小鹏汽车官方表示:情况不属实,该事故是由于驾驶员本身操作不当造成,并非车辆自动关闭ABS。凭借着NEDC

  • 瑞幸咖啡APP/小程序崩了 官方回应:上周系统升级出现问题

    就在刚刚,针对“APP/小程序出现宕机”的情况,瑞幸咖啡回应称:“因上周系统升级出现问题,APP/小程序崩了我们正在抓紧抢修,恢复正常会第一时间通知大家!”

  • openEA专访丨浅谈开源的未来:中国开源社区建立是关键

    摘要:今天,openea.net重新上线,这次社区会给我们哪些便利呢?未来的发展方向又是什么呢?听说这次改版增加很多额外价值包!开源君独家采访了社区建设与运营相关负责人,现在带大家一起走进openEA开源社区吧。openEA开源社区(ID:openEA)| 出品小夕 | 编辑Dream | 作者开源君 | 采访openEA运营部 | 受访开源,天生带有“共享精神”的基因,开源生态同时也是被验证过的商业模式。目前国内领先的互联网企业也在开源领域争相布局:

  • 京东方:拟132亿元投资建设智慧系统创新中心等项目

    6月28日消息,京东方发布公告称,拟投资48亿元,于重庆市两江新区投资建设京东方(重庆)智慧系统创新中心项目;拟投资60亿元,于成都市高新西区投资建设京东方(成都)智慧系统创新中心项目;拟总投资24亿元于江苏省苏州市吴江区建设苏州京东方医院项目。其中,京东方(重庆)智慧系统创新中心项目与京东方(成都)智慧系统创新中心项目拟依托京东方智慧系统创新能力,整合内外部战略资源,打造软硬融合技术开发平台?

  • OPPO 加入 OpenChain,与谷歌微软共建开源许可标准

    据外媒彭博新闻社 10 日报道,2020 年 5 月 27 日,OPPO 正式成为内地首家OpenChain 白金会员,与谷歌、微软、ARM等行业领军企业一起,参与开源许可标准的制定,共建更加健康的全球开源体系。 OpenChain 作为 Linux 基金会下的项目,旨在制定开源软件供应链标准,帮助各种组织更高效地解决开源许可证一致性地问题。通过 OpenChain 认证后,开源许可流程将更为轻松。目前 ARM、微软、谷歌、高通等各领域巨头纷纷加入 OpenChain,为

  • 重磅!「晓程序观察」独家:支付宝小程序最全运营宝典!

    ​随着 618 战火愈演愈烈, 2020 年即将正式驶过一半航程了。年初疫情足不出户时,你们闭门在家做的目标计划书,不知道已经实现得如何了?

  • 早期红利不等人,开源征信助你把握信用经济财富先机

    古人说:“人无信不立,业无信不兴”。在如今信用经济时代,个人信用就更显重要,无论是就业升职、资格审查、出国签证、评先评优,还是买房买车办贷款,都绕不开征信,因此,建立与健全个人征信体系已经成为经济发展的要求之一。然而,目前我国的征信体系建设并不全面,一个完整的征信产业链应当包含前端的征信业务,中端的信用监测和后端的信用修复,相比于火热的前端市场,我国信用修复业务却发展缓慢,成为整个征信系统建设的薄

  • openEuler开源社区成立Ceph SIG

    「中国,深圳, 2020 年 6 月 16 日」今天,openEuler开源社区(以下简称“openEuler社区”)正式成立Ceph SIG(Special Interest Group 特别兴趣小组),完善openEuler操作系统在分布式存储场景的适配。openEuler社区参与者和用户可获得由专业存储团队维护的稳定的Ceph版本构建分布式存储系统,并通过openEuler社区获得技术支持。 Ceph是一个具备高性能、可靠性和可扩展性的分布式存储解决方案,可以同时提供块、文件和对象三种服务

  • 苹果小程序在哪里

    北京时间今天凌晨,在 WWDC 2020 全球开发者大会上,苹果发布了 iOS 14 系统,正式介绍了其最新版的 iPhone 软件。ios14当中的一个亮眼便是被称为「苹果小程序」的新功能。苹果在App Store新加入的「App Clip」功能,就类似于小程序。苹果表示App Clips包含应用的一小部分功能,而无需完整下载安装,使用起来十分地方便。同时苹果也在研发全新的QR二维码格式,该格式同时使用视觉二维码和NFC来快速访问App Clip。以下是关于ios版小

  • 焦点聚集DeFi,OKEx“项目小指南”

    近期,DeFi成为研究者及投资者重点关注的项目。6月29日,OKEx CEO Jay Hao在社群直播时表示:“OKEx一直都在关注DeFi的生态发展,早在19年末就对接MakerDao的DSR,以OKEx作为入口向用户提供DeFi的服务,同时OKEx也发起了自己的公链项目OKChain。”在提及DeFi安全性问题时,Jay Hao表示:“这并不会成为DeFi发展的瓶颈并且OKChain会重点发力在该领域,发展更加安全和高性能的DeFi生态服务。”DeFi是去中心化金融(decentralized finan

  • 没有自家配送员,让Grubhub从外卖鼻祖到卖身求存

    2020 年 6 月 11 日,外媒报道欧洲最大外卖公司Just Eat Takeaway拟收购昔日美国外卖标杆GrubHub的100%股权,收购方式为股权置换、价值高达 73 亿美元,合并之后Grubhub首席执行官将加入Just Eat Takeaway的管理委员会,继续管理北美业务。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天