一項分析前54個開源項目的研究發(fā)現,這些工具中的安全漏洞在2019年翻了一番,從2018年的421個bug到去年的968個�。根據RiskSense今天發(fā)布的 "開源的黑暗現實 "報告����,該公司在2015年至2020年3月期間發(fā)現流行的開源項目中報告了2694個bug���。
該報告并不包括Linux��、WordPress�����、Drupal等超級流行的免費工具項目���,因為這些項目經常受到監(jiān)控,安全bug也會成為新聞�����,確保這些安全問題大多能相當快地得到修補。
相反��,RiskSense觀察了其他流行的開源項目��,這些項目并不那么知名����,但被技術和軟件社區(qū)廣泛采用。其中包括Jenkins����、MongoDB、Elasticsearch��、Chef����、GitLab、Spark�、Puppet等工具。
RiskSense表示��,他們在研究過程中發(fā)現的一個主要問題是�����,他們分析的大量安全漏洞在公開披露后許多周后才被報告到國家漏洞數據庫(NVD)。該公司表示�����,這54個項目中發(fā)現的bug通常平均需要54天左右時間才會被報告給NVD�,其中PostgreSQL的報告延遲時間達到了8個月。由于網絡安全和IT軟件公司使用NVD數據庫來創(chuàng)建和發(fā)送安全警報���,報告延遲導致使用這些開源項目的公司仍然暴露在攻擊面前����。
RiskSense表示���,自2015年以來,在其分析的所有54個項目中���,Jenkins自動化服務器和MySQL數據庫服務器的武器化漏洞最多���,均為15個。雖然其他開源項目的bug較少���,但這些bug有時更容易被武器化����,例如Vagrant虛擬化軟件和Alfresco內容管理系統(tǒng)當中的bug。
RiskSense認為�,現在不僅需要改進開源項目內部處理安全漏洞的方式,而且需要整個行業(yè)進行改進�,因為 開源項目正在以歷史性的速度產生新漏洞。
