陈诉全文:https://info.risksense.com/open-source-spotlight-report-pr
本文地点:https://www.ithome.com/0/491/787.htm
RiskSense 首席执行官 Srinivas Mukkamala 暗示:「固然开源代码因为是颠末众包审查以发明问题,凡是被认为比贸易软件更安详,但这项研究表白开源软件裂痕正在上升,而且大概成为很多组织的盲点。」「由于开源代码在当今处处都有利用和重用,一旦发明裂痕,它们将发生难以置信的深远影响。」
陈诉功效表白,这些开源软件中的总裂痕数在 2019 年增加了一倍以上, 从 2018 年的 421 个增长到了去年的 968 个。并指出,将开源软件裂痕添加到国度裂痕数据库(NVD)所需的时间很是长,从果真披露到包括,平均需要 54 天。这种延迟大概导致组织在近两个月的时间内仍面对严重的应用措施安详风险。且这种长时间的延迟存在于在所有级此外裂痕上,包罗被评为「严重」的裂痕和已被兵器化的裂痕。
RiskSense 宣布了一份新陈诉,该陈诉提供了有关今朝热门的开源软件中裂痕的深入发明,个中包罗兵器化裂痕数、哪种软件最容易受到威胁、进攻的最主要范例等内容。
RiskSense 查察了 50 个最受接待的开源软件项目,发明:
裂痕涵盖了从开拓/测试、编排、容器以及事情负荷之内的现代开拓的所有阶段 开源正以前所未有的速度发生新的裂痕 国度裂痕数据库(NVD)列表在开源软件裂痕方面很落伍-出格是对付那些具有最高 CVSS 严重性的裂痕。
原文来历:开源中国
原文标题:《2019 年热门开源项目中的裂痕增加了一倍以上》
其他发明包罗有,Jenkins 自动化处事器总体上拥有最多的 CVE,数量为 646。紧随其后的是 MySQL,数量为 624。同时,这两个开源软件项目标兵器化裂痕也各占 15 个。对比之下,HashiCorp 的 Vagrant 总共只有 9 个 CVE,可是个中包括了 6 个兵器化裂痕。
另外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 也都存在着一些风行裂痕。而跨站点剧本(XSS)和输入验证裂痕则是该研究中最常见和兵器化水平最高的裂痕之一。
该陈诉并没有包括 Linux、WordPress、Drupal 等这些常常受到监控的超等风行项目。而是调查了一些对公共来说并不是很知名,,但却被技能和软件社区遍及回收的其他热门开源项目,个中包罗 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
