开源披露中的失败将用户面临风险
根据一项从Ploffulf ProviderWhithOckSource的研究,根据研究,开源漏洞有50%。
根据开源安全漏洞报告的状态,2019年的超过55%的公开源漏洞被归类为“高”或“关键”严重性,Whitesource表示影响其队伍优先考虑漏洞修复的能力。
该研究发现,2019年披露的公开开源软件漏洞的数量暴涨超过6,000。使用WhiteCource数据库的研究基于报告的漏洞,组合来自美国国家漏洞数据库(NVD),安全性建议,对等漏洞数据库和开源问题跟踪器的漏洞报告。
Whitesource警告,虽然45%的报告的开源漏洞未初始向NVD报告,但许多最终会在数据库上发布。
其研究发现,只有29%的所有开源漏洞都在NVD之外最终出版。NVD中只有84%的已知开源漏洞出现。有关漏洞的信息未在一个集中位置发布,而是分散在数百个资源中,有时索引不佳 - 通常会在寻找特定数据挑战。在报告中,Whitesource警告说:“用户并不总能从社区的努力中受益。”
WhiteCource的说法,安全报告中的一个积极发展之一是Github的嵌入式披露过程,它表示可以鼓励开源项目正确地报告漏洞,而不是推动修复。
“拥有维护者本身报告漏洞也应该导致更高质量的元数据,如受影响的版本和固定版本,而不是如果第三方报告的问题,”在报告中表示的Whitesource。
该研究发现,用于开源项目的最流行的编程语言,C具有最多的漏洞。Whitesource报告了据报道的开源漏洞的比例C项目从2018年的30%上升到2019年的47%。发现Python具有开放源开发中使用的前七种语言的最低比例脆弱性,其中6%的基于Python的开源项目报告代码漏洞。
“开源漏洞景观起初可能似乎复杂,但是有些方法可以获得弥补产品”Whitesource的开源组件的可见性和控制在报告中,Whitesource说:由于这种语言编写的代码大量,C仍然具有最高的漏洞。然而,这些数字是不断趋势,因为其他语言也变得流行。“
该研究发现,PHP的相对脆弱性脆弱性从2019年的15%上升到2019年的23%,即使没有证据表明它正在受欢迎。
Whitesource还报告称CWE-79(跨站点脚本),CWE-20(输入验证)和CWE-200(信息曝光)是前三名Java,JS,PHP和Python漏洞。
该研究发现,2019年,横向站点请求伪造(CSRF)和SQL注射是十大风险之一。“这可能是由于开发的开源Web项目的数量增加,它可能表明网络漏洞正在上升,我们应该注意编码时的内容,”Whitesource表示。
Whitesource敦促用户开源项目的用户了解安全风险,并确保将开源代码依赖于日期。
“开源组件已成为我们软件项目的一个组成部分。该公司表示,开放源漏洞景观似乎可能似乎复杂和具有挑战性,但有些方法可以获得弥补产品的开源组件的可见性和控制。“