开源最前线(ID:OpenSourceTop) 猿妹编译链接:https://fossbytes.com/copying-codes-from-stack-overflow-leads-to-vulnerable-github-projects/现在从网上找代码直接复制到项目中的做法成为程序员的一种常规操作,Stack Overflow 更是其中主要的代码来源。但是最近有研究显示,从 Stack Overflow 上复制代码凑到项目中会使出现漏洞的概率大大增加。
研究人员分析了 1325 个 Stack Overflow 帖子,获取了其中 72 000 多段 C++ 代码,发现了这些代码里包含 29 种不同类型的 69 个漏洞。
尽管这个数字可能还是不够全面,没有考虑到大多数的Github项目,但这69个易被攻击的代码实实在在的出现在这 2589 个 Github 仓库中,这是很惊人的。
研究人员也通知了受影响的 GitHub 项目作者,但只有少数人选择修复已知的弱点枚举(CWE)所构成的缺陷。
研究人员表示,这项研究的目的在于寻找这些存在漏洞的代码是如何从 Stack Overflow 到 GitHub 的,如何在不仔细检查的情况下就贸然使用代码可能导致软件中存在漏洞。
在此研究中,团队选择专注于基于 C ++ 的项目。大多数经常发现的 CWE 是 CWE-20(输入验证不正确),CWE-754(异常或异常条件的不正确检查)和 CWE-1006(不良编码做法)。
2407
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
