WhiteSource对650多位开发人员进行了调查,并从NVD(国家漏洞),安全公告,经过同行评审的漏洞和问题跟踪程序等渠道收集了数据,然后发表了研究报告. 报告. 该报告显示,2019年暴露的开源软件漏洞数量已激增至6000多个,同比增长近50%.
幸好,已披露了85%的漏洞,并提供了相应的修复程序.
但是该报告还指出,不幸的是,只有84%的已知开源漏洞最终归结为NVD. 有关漏洞的信息不会在一处发布,而是分散在数百个资源中. 因此,一旦索引不正确,就很难搜索特定数据.
报告的开源漏洞中有45%尚未首先报告给NVDv2 conference 漏洞,许多漏洞是在其他渠道中报告的,然后才在NVD中发布了几个月. 在NVD以外报告的所有开源漏洞中,最终只有29%被注册.
此外v2 conference 漏洞,研究人员将2019年存在漏洞的前七种编程语言进行了比较,并将它们与过去十年的数量进行了比较. 事实证明,在这些语言中,具有最佳历史记录的C语言具有最高的漏洞百分比. PHP中的相对漏洞数量也已显着增加,但是没有迹象表明其受欢迎程度有所增加. 对于Python而言,尽管该语言在开源社区中的流行程度继续上升,但其漏洞所占的百分比仍然相对较低.
另一方面,该报告还考虑了来自通用漏洞评分系统(CVSS)的数据是否是衡量陷阱优先级的最佳标准. 在过去的几年中,CVSS已进行了多次更新,以期达到可以支持所有组织和行业的客观且可衡量的标准. 但是,在此过程中,它也更改了高严重性漏洞的定义. 例如,这意味着以前在CVSS v2下指定为7.6的漏洞可能在CVSS v3.0标准下设置为9.8,这也意味着该团队将面临更高的严重性问题. 如今,超过55%的用户具有较高的严重性或严重的问题.
报告预测,到2020年,开放源代码软件漏洞的数量将继续增加. 但与此同时,开放源代码安全系统的计划仍在继续.
最后,报告作者还得出结论: “最重要的一点是,列表中提到的开放源代码项目具有漏洞并不意味着它们不安全. 这仅意味着作为开放源代码项目的用户,您必须需要了解风险,并确保开源依赖关系是最新的. “
完整报告地址: https: //resources.whitesourcesoftware.com/research-reports/the-state-of-open-source-vulnerabilties-2020
2019年中国互联网大会报告: 518万个网站注意! PHP7.x的PHP-FPM中存在一个远程执行代码漏洞. 百度云2019年第一季度收入为13亿元,同比增长133%
本文来自电脑杂谈,转载请注明本文网址:
http://www.pc-fly.com/a/ruanjian/article-153467-1.html