行业新闻与博客

一个领先的开源项目因发布误导性安全建议而受到抨击，这可能会使其软件客户面临不必要的风险。

安全供应商 Synopsys 为流行的 Web 应用程序框架 Apache Struts 分析了 115 个单独的版本，并将它们与开源项目的相关建议相匹配。

总共有 57 个 Apache Struts 安全建议中的 24 个 - 几乎一半 - 在列出受漏洞影响的框架版本时犯了错误。

实际上，至少有一个先前公开的漏洞影响了另外 61 个版本的 Apache Struts，可能会使用户受到攻击。

“虽然我们的研究结果包括识别在原始披露中被错误报告的版本，但组件消费者的真正风险是在原始评估中错过了易受攻击的版本，” Synopsys 争辩道。

“鉴于开发团队经常缓存”已知良好“的组件版本以确保无错误的编译，受影响版本的报告不足会对整体产品安全性产生持久影响。”

从好的方面来说，Apache 软件基金会和 Apache Struts 团队因与 Synopsys 合作纠正错误而“勤奋”而受到称赞。本周早些时候发布了一个更新的 Apache Struts Security Advisories 页面。

许多人都知道 Apache Struts 是一个网络应用程序框架，Equifax 在 2017 年未能修补，导致超过一半的美国人和数百万英国消费者的个人和财务信息被严重破坏。

该事件已使信贷机构损失超过 10 亿美元，以及首席执行官和其他高级管理人员的工作。

非常感谢您对亚洲注册的支持与信任！

禁止转载