近期，安全專家們對(duì)目前最熱(rè)門的(de)54個(gè)開源項目進行了(le)分(fēn)析和(hé)研究，并且發現這(zhè)些開源工具中存在的(de)安全漏洞數量在2019年翻了(le)一倍。因爲2018年相同開源項目中的(de)漏洞僅爲421個(gè)，而在去年這(zhè)些項目中的(de)漏洞數量激增爲了(le)968個(gè)。

根據RiskSense近期發布的(de)《The Dark Reality of Open Source》報告，RiskSense的(de)安全研究專家在2015年至2020年3月(yuè)份之間，在當前熱(rè)門的(de)開源項目中總共發現并報告了(le)2694個(gè)安全漏洞。但是，這(zhè)份報告中并沒有涵蓋類似Linux、WordPress、Drupal等非常熱(rè)門的(de)免費工具或項目，因爲這(zhè)些項目是經常被安全人(rén)員(yuán)監控著(zhe)的(de)，這(zhè)些項目中一旦出現了(le)安全漏洞，也(yě)會在很短的(de)時(shí)間内得(de)到修複。

但是，RiskSense關注的(de)是其他(tā)熱(rè)門的(de)開源項目，相比上述的(de)開源項目來(lái)說，這(zhè)些項目的(de)關注度并沒有那麽高(gāo)，但是它們仍然被技術社區(qū)和(hé)軟件社區(qū)所廣泛使用(yòng)，比如說Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。

RiskSense的(de)研究人(rén)員(yuán)表示，他(tā)們在研究過程中發現的(de)一個(gè)主要問題是，他(tā)們分(fēn)析的(de)大(dà)量安全漏洞都是已經在被公開披露數周後才被上報給國家漏洞數據庫（NVD）的(de)。研究人(rén)員(yuán)表示，在這(zhè)54個(gè)項目中被發現的(de)漏洞，平均需要54天才能被上報給NVD，而針對(duì)PostgreSQL的(de)漏洞報告甚至會延長(cháng)至8個(gè)月(yuè)才能得(de)到上報。

由于網絡安全和(hé)IT軟件公司大(dà)多(duō)都會使用(yòng)NVD數據庫來(lái)創建和(hé)發送安全警報，而漏洞報告的(de)延遲将導緻公司組織或旗下(xià)産品暴露在安全風險之下(xià)。除此之外，這(zhè)種漏洞報告延遲還(hái)将允許網絡犯罪分(fēn)子擁有充足的(de)時(shí)間來(lái)開發和(hé)部署漏洞利用(yòng)程序，并豐富自己的(de)武器庫。

RiskSense的(de)研究人(rén)員(yuán)表示，在他(tā)們所分(fēn)析的(de)54個(gè)熱(rè)門開源項目中，針對(duì)Jenkins自動化(huà)服務器和(hé)MySQL數據庫服務器的(de)漏洞利用(yòng)工具是自2015年以來(lái)最多(duō)的(de)，分(fēn)别都有15個(gè)已成熟的(de)武器化(huà)漏洞利用(yòng)工具。

由此可(kě)見，漏洞數量其實跟漏洞利用(yòng)工具數量之間并沒有直接的(de)聯系。

雖然其他(tā)開源項目的(de)安全漏洞較少，但這(zhè)些安全漏洞有時(shí)更容易被武器化(huà)，例如Vagrant虛拟化(huà)軟件和(hé)Alfresco内容管理(lǐ)系統。

在現在所有的(de)商業軟件項目中，開源項目幾乎占了(le)99%，毫無疑問，現在正是需要改進開源項目内部以及整個(gè)行業處理(lǐ)安全漏洞的(de)方式的(de)最佳時(shí)機。這(zhè)一點，比以往任何時(shí)候都更加緊要，因爲“開源項目正在以曆史上最快(kuài)的(de)速度産生新的(de)漏洞”。

信息來(lái)源：

https://mp.weixin.qq.com/s/jf_LHi6FiUULRtOaN7F-HA