一項(xiàng)分析前 54 個(gè)開(kāi)源項(xiàng)目的研究發(fā)現(xiàn)，這些工具中的安全漏洞在 2019 年翻了一番，從 2018 年的 421 個(gè) bug 到去年的 968 個(gè)。根據(jù) RiskSense 今天發(fā)布的 "開(kāi)源的黑暗現(xiàn)實(shí) "報(bào)告，該公司在 2015 年至 2020 年 3 月期間發(fā)現(xiàn)流行的開(kāi)源項(xiàng)目中報(bào)告了 2694 個(gè) bug。

　　該報(bào)告并不包括 Linux、WordPress、Drupal 等超級(jí)流行的免費(fèi)工具項(xiàng)目，因?yàn)檫@些項(xiàng)目經(jīng)常受到監(jiān)控，安全 bug 也會(huì)成為新聞，確保這些安全問(wèn)題大多能相當(dāng)快地得到修補(bǔ)。

　　相反，RiskSense 觀(guān)察了其他流行的開(kāi)源項(xiàng)目，這些項(xiàng)目并不那么知名，但被技術(shù)和軟件社區(qū)廣泛采用。其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。

　　RiskSense 表示，他們?cè)谘芯窟^(guò)程中發(fā)現(xiàn)的一個(gè)主要問(wèn)題是，他們分析的大量安全漏洞在公開(kāi)披露后許多周后才被報(bào)告到國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）。該公司表示，這 54 個(gè)項(xiàng)目中發(fā)現(xiàn)的 bug 通常平均需要 54 天左右時(shí)間才會(huì)被報(bào)告給 NVD，其中 PostgreSQL 的報(bào)告延遲時(shí)間達(dá)到了 8 個(gè)月。由于網(wǎng)絡(luò)安全和 IT 軟件公司使用 NVD 數(shù)據(jù)庫(kù)來(lái)創(chuàng)建和發(fā)送安全警報(bào)，報(bào)告延遲導(dǎo)致使用這些開(kāi)源項(xiàng)目的公司仍然暴露在攻擊面前。

　　RiskSense 表示，自 2015 年以來(lái)，在其分析的所有 54 個(gè)項(xiàng)目中，Jenkins 自動(dòng)化服務(wù)器和 MySQL 數(shù)據(jù)庫(kù)服務(wù)器的武器化漏洞最多，均為 15 個(gè)。雖然其他開(kāi)源項(xiàng)目的 bug 較少，但這些 bug 有時(shí)更容易被武器化，例如 Vagrant 虛擬化軟件和 Alfresco 內(nèi)容管理系統(tǒng)當(dāng)中的 bug。

　　RiskSense 認(rèn)為，現(xiàn)在不僅需要改進(jìn)開(kāi)源項(xiàng)目?jī)?nèi)部處理安全漏洞的方式，而且需要整個(gè)行業(yè)進(jìn)行改進(jìn)，因?yàn)殚_(kāi)源項(xiàng)目正在以歷史性的速度產(chǎn)生新漏洞。

總結(jié)

以上是生活随笔為你收集整理的2019年热门开源项目当中的漏洞增加了一倍的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。