近期,安全专家们对目前最热门的54个开源项目进行了分析和研究,并且发现这些开源工具中存在的安全漏洞数量在2019年翻了一倍。因为2018年相同开源项目中的漏洞仅为421个,而在去年这些项目中的漏洞数量激增为了968个。
根据RiskSense近期发布的《The Dark Reality of Open Source》报告,RiskSense的安全研究专家在2015年至2020年3月份之间,在当前热门的开源项目中总共发现并报告了2694个安全漏洞。但是,这份报告中并没有涵盖类似Linux、WordPress、Drupal等非常热门的免费工具或项目,因为这些项目是经常被安全人员监控着的,这些项目中一旦出现了安全漏洞,也会在很短的时间内得到修复。
但是,RiskSense关注的是其他热门的开源项目,相比上述的开源项目来说,这些项目的关注度并没有那么高,但是它们仍然被技术社区和软件社区所广泛使用,比如说Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。
RiskSense的研究人员表示,他们在研究过程中发现的一个主要问题是,他们分析的大量安全漏洞都是已经在被公开披露数周后才被上报给国家漏洞数据库(NVD)的。研究人员表示,在这54个项目中被发现的漏洞,平均需要54天天才能被上报给NVD,而针对PostgreSQL的漏洞报告甚至会延长至8个月才能得到上报。
下面给出的是RiskSense提供的项目漏洞报告延迟天数表:
由于网络安全和IT软件公司大多都会使用NVD数据库来创建和发送安全警报,而漏洞报告的延迟将导致公司组织或旗下产品暴露在安全风险之下。除此之外,这种漏洞报告延迟还将允许网络犯罪分子拥有充足的时间来开发和部署漏洞利用程序,并丰富自己的武器库。
RiskSense的研究人员表示,在他们所分析的54个热门开源项目中,针对Jenkins自动化服务器和MySQL数据库服务器的漏洞利用工具是自2015年以来最多的,分别都有15个已成熟的武器化漏洞利用工具。
下面给出的是各个开源项目对应的CVE漏洞数量以及漏洞利用工具数量:
由此可见,漏洞数量其实跟漏洞利用工具数量之间并没有直接的联系。
虽然其他开源项目的安全漏洞较少,但这些安全漏洞有时更容易被武器化,例如Vagrant虚拟化软件和Alfresco内容管理系统。
下面给出的是各个项目漏洞武器化CVE百分比:
在现在所有的商业软件项目中,开源项目几乎占了99%,毫无疑问,现在正是需要改进开源项目内部以及整个行业处理安全漏洞的方式的最佳时机。这一点,比以往任何时候都更加紧要,因为“开源项目正在以历史上最快的速度产生新的漏洞”。
参考来源
zdnet