站長資訊網(wǎng)WhiteSource 通過對 650 多個(gè)開發(fā)人員進(jìn)行了調(diào)查,并從 NVD(Nartional Vulnerability Database)、安全公告、經(jīng)過同行評審的漏洞數(shù)據(jù)庫、問題跟蹤程序等渠道收集了數(shù)據(jù)之后,整理發(fā)布了一份研究報(bào)告。該報(bào)告顯示,2019 年公開的開源軟件漏洞數(shù)已激增至 6000 多個(gè),同比增長了近 50%。
值得慶幸的是,其中有 85% 的漏洞已被披露,并提供了相應(yīng)的修復(fù)程序。
不過報(bào)告也指出,遺憾的是,最終只有 84% 的已知開源漏洞出現(xiàn)在 NVD 中。且有關(guān)漏洞的信息并沒有集中在一個(gè)位置發(fā)布,而是分散在數(shù)百種資源中。因此,一旦出現(xiàn)索引編制不正確的狀況時(shí),就會(huì)使得搜索特定數(shù)據(jù)變得愈發(fā)艱難。
而報(bào)告的開源漏洞也中有 45% 并未是最初就報(bào)告給 NVD 的,許多漏洞是在其他渠道中被報(bào)告數(shù)月后才在 NVD 中發(fā)布。在 NVD 之外報(bào)告的所有開源漏洞中,也只有 29% 最終被登記在冊。
此外,研究人員還對 2019 年漏洞排名前七的編程語言進(jìn)行了比較,并將其與過去十年的數(shù)量進(jìn)行了比較。結(jié)果發(fā)現(xiàn),在這幾種語言中,歷史基礎(chǔ)最好的C 語言占有最高的漏洞百分比。PHP 的相對漏洞數(shù)量也在大幅增加,但沒有跡象表明其流行度有同樣的提升。而 Python 方面,盡管該語言在開源社區(qū)中的普及率在持續(xù)上升,但其漏洞百分比仍相對較低。
另一方面, 該報(bào)告還考慮了通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System,CVSS)的數(shù)據(jù)是否是衡量補(bǔ)漏優(yōu)先級的最佳標(biāo)準(zhǔn)。CVSS 在過去的幾年中已進(jìn)行了多次更新,以期達(dá)到為可對所有組織和行業(yè)提供支持的客觀可衡量標(biāo)準(zhǔn)。然而在此過程中,它也改變了高嚴(yán)重性漏洞的定義。舉例來說就是,此舉意味著此前在 CVSS v2 下被定為 7.6 的漏洞,在 CVSS v3.0 標(biāo)準(zhǔn)下就可能被定為 9.8,這也意味著團(tuán)隊(duì)會(huì)面臨著更多的高嚴(yán)重性問題。現(xiàn)在,已有超過 55% 的用戶具有高嚴(yán)重性或嚴(yán)重性問題。
報(bào)告預(yù)測,在 2020 年,開源軟件漏洞的數(shù)量還會(huì)持續(xù)增長。不過與此同時(shí),一些針對開源安全系統(tǒng)的計(jì)劃也在不斷推進(jìn)。
最后,報(bào)告作者也總結(jié)稱,“最重要的一點(diǎn)是,列表中提及的開源項(xiàng)目具有漏洞并不意味著它們就不安全。這僅意味著作為開源項(xiàng)目的用戶,您需要了解安全風(fēng)險(xiǎn),并確保保持開源依賴關(guān)系的最新狀態(tài)。”
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益,請及時(shí)聯(lián)系我們,本站將會(huì)在24小時(shí)內(nèi)處理完畢。
