行业新闻与博客

一份新的 RiskSense 报告显示，与 2018年相比，2019年开源软件（OSS）漏洞的数量增加了一倍以上。去年，常见漏洞和暴露漏洞（CVE）总数达到 968 个，高于 2018年的 421 个，增长了 130％。到 2020年的前三个月，CVE 也一直处于历史高位，这表明这是一个长期趋势。

该报告还显示，公开披露信息后，平均需要 54 天才能将 OSS 漏洞添加到国家漏洞数据库（NVD）中。这些延迟意味着组织通常要承受大约两个月的严重应用程序安全风险。在所有严重程度的漏洞中都观察到了滞后，包括被评为“严重”和被武器化的漏洞。

拥有最多 CVE 的 OSS 项目是 Jenkins 自动化服务器（646）和 MySQL（624），每一个都有 15 个武器化漏洞。虽然 HashiCorp 的“无业游民”只有 9 个 CVE，但武器装备的比例却很高（六个）。其他在现实世界攻击中趋于流行或流行的 OSS 项目包括 Apache Tomcat，Magento，Kubernetes，Elasticsearch  和 JBoss。

跨站点脚本漏洞是第二种最常见的漏洞，也是使用最多的武器。其次是输入验证问题，是第三大常见和第二大武器。此外，研究表明，一些缺点，例如反序列化问题（28）和代码注入（16），虽然很少见，但在主动攻击活动中仍然很流行。

RiskSense 首席执行官 Srinivas Mukkamala 说：“尽管开源代码经过众包审查以发现问题，但通常被认为比商业软件更安全，但这项研究表明 OSS 漏洞正在上升，并且可能成为许多组织的盲点。” “由于开放源代码在当今到处都有使用和重用，一旦发现漏洞，它们将产生难以置信的深远影响。”

本文由机器译制