2019年热门开源项目的安全漏洞增加一倍

云栖号资讯：【点击查看更多行业资讯】
在这里您可以找到不同行业的第一手的上云资讯，还在等什么，快来！

近日，安全公司 RiskSense 发布了一份名为“The Dark Reality of Open Source" 的报告。通过分析 54 个热门开源项目，这家公司发现这些开源项目中的安全漏洞数量在 2019 年增加一倍，从 2018 年的 421 个漏洞增加至 2019 年的 968 个。

据悉，该报告并不包括 Linux、WordPress、Drupal 等超级流行的免费工具项目，而是观察了其他流行的开源项目，它们虽然不是很出名，但却被技术和软件社区广泛采用，其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。

报告表明，2019 年公开披露的开源软件漏洞数为 968，相比 2018 年的 421 个漏洞，安全漏洞数量增长 130%。统计显示，从 2015 年到 2020 年（3 月）流行的开源项目累计有 2694 个漏洞。

RiskSense 表示，它们从报告中发现的另一大问题是大量的安全漏洞在公开披露数周后才报告给 NVD（美国国家漏洞数据库）。据了解，漏洞从首次公开披露到报告给 NVD，这个时间平均要花 54 天，而 PostgreSQL 和 MongoDB 则需要花费 8 个月的时间。

更令人震惊的是，有一个严重的 PostgreSQL 漏洞从首次公开披露到报告给 NVD，花了 1817 天。
考虑到业界很多网络安全和 IT 软件公司都利用 NVD 数据库来建立和发送安全警报，一旦漏洞报告延迟，这将导致使用这些开源项目的企业暴露在攻击面前。并且，这还给威胁行为者创造了机会，让它们可以创建和部署漏洞利用程序——导致安全漏洞的“武器化”。

根据统计，在 54 个开源项目中，Jenkins 和 MySQL 的安全漏洞数量最多，其中，Jenkins 有 646 个安全漏洞，MySQL 紧随其后，有 624 个安全漏洞。同时，它们的武器化漏洞也是遥遥领先，分别是 15 个。虽然其他开源项目的漏洞较少，但这些漏洞更容易被武器化，比如 Vagrant 虚拟化软件和 Alfresco 内容管理系统当中的安全漏洞。

此外，Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 均含有一些很流行的安全漏洞。
RiskSense 总结道，开源项目在当今软件世界举足轻重，因此需要进一步改进开源项目乃至整个行业处理安全漏洞的方式。

【云栖号在线课堂】每天都有产品技术专家分享！
课程地址：https://yqh.aliyun.com/zhibo

立即加入社群，与专家面对面，及时了解课程最新动态！
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK

原文发布时间：2020-06-10
本文作者：万佳
本文来自：“InfoQ ”，了解相关信息可以关注“InfoQ”