如何理解易受攻击和过时的组件类漏洞
易受攻击和过时的组件(Vulnerable and Outdated Components)类漏洞看名字就很容易理解,就是使用了具有已知漏洞的组件或者已经过时的组件。由于过时的组件不再被维护,会被发现越来越多的安全漏洞但是漏洞也不会再被修复,就会带来极大的安全隐患。当然,这里的组件不是狭义的组件,可以指代码里面引用的三方库、应用程序、操作系统、数据库、服务器、Linux 内核等等。另外组件在保持最新但是安全配置错误的情况下,也是易受攻击的组件。
可以使用如下方法来识别易受攻击和过时的组件:
如果该组件不再被供应商维护,这意味着供应商不再为该组件提供安全更新或安全补丁。
如果该组件有很多漏洞已经被公开披露或者存在已知漏洞。
容易出现易受攻击和过时的组件类漏洞的场景
不清楚使用的组件和依赖的组件的版本。
使用了不再被维护的或者已经过时的软件,例如操作系统、应用程序、Web服务器、数据库、三方库等。
没有定期扫描漏洞或订阅与所使用组件相关的安全情报。
在被暴出漏洞的情况下或有新版本的情况下,没有及时修复或升级系统、框架或依赖库的版本。
软件开发或测试人员没有测试更新、升级或打补丁后的应用程序的兼容性。
应用程序的安全配置没有配置正确。
避免出现易受攻击和过时的组件类漏洞产生需要注意的点
删除使用不到的依赖项、特性、组件和文件。
使用版本控制等工具持续盘点各组件的版本及依赖关系,持续关注使用的组件版本是否出现了安全漏洞。
从官方获取组件,获取到组件后校验签名是否正确,防止被恶意篡改。
定期对使用的组件进行漏洞扫描,及时打安全补丁,有新版本后及时升级。
充分了解各组件的安全配置项,确保配置正确。