【开源资讯】2019 年开源软件漏洞增长近 50%,C语言漏洞占比最高

IT实战联盟 2020-03-16 15:27:07 ⋅ 112 阅读

WhiteSource 通过对 650 多个开发人员进行了调查,并从 NVD(Nartional Vulnerability Database)、安全公告、经过同行评审的漏洞数据库、问题跟踪程序等渠道收集了数据之后,整理发布了一份研究报告。该报告显示,2019 年公开的开源软件漏洞数已激增至 6000 多个,同比增长了近 50%。


值得庆幸的是,其中有 85% 的漏洞已被披露,并提供了相应的修复程序。

不过报告也指出,遗憾的是,最终只有 84% 的已知开源漏洞出现在 NVD 中。且有关漏洞的信息并没有集中在一个位置发布,而是分散在数百种资源中。因此,一旦出现索引编制不正确的状况时,就会使得搜索特定数据变得愈发艰难。

而报告的开源漏洞也中有 45% 并未是最初就报告给 NVD 的,许多漏洞是在其他渠道中被报告数月后才在 NVD 中发布。在 NVD 之外报告的所有开源漏洞中,也只有 29% 最终被登记在册。

此外,研究人员还对 2019 年漏洞排名前七的编程语言进行了比较,并将其与过去十年的数量进行了比较。结果发现,在这几种语言中,历史基础最好的 C 语言占有最高的漏洞百分比。PHP 的相对漏洞数量也在大幅增加,但没有迹象表明其流行度有同样的提升。而 Python 方面,尽管该语言在开源社区中的普及率在持续上升,但其漏洞百分比仍相对较低。


另一方面, 该报告还考虑了通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)的数据是否是衡量补漏优先级的最佳标准。CVSS 在过去的几年中已进行了多次更新,以期达到为可对所有组织和行业提供支持的客观可衡量标准。然而在此过程中,它也改变了高严重性漏洞的定义。举例来说就是,此举意味着此前在 CVSS v2 下被定为 7.6 的漏洞,在 CVSS v3.0 标准下就可能被定为 9.8,这也意味着团队会面临着更多的高严重性问题。现在,已有超过 55% 的用户具有高严重性或严重性问题。

报告预测,在 2020 年,开源软件漏洞的数量还会持续增长。不过与此同时,一些针对开源安全系统的计划也在不断推进。

最后,报告作者也总结称,“最重要的一点是,列表中提及的开源项目具有漏洞并不意味着它们就不安全。这仅意味着作为开源项目的用户,您需要了解安全风险,并确保保持开源依赖关系的最新状态。”



全部评论: 0

    我有话说:

    XXL-JOB 针对未授权访问导致远程命令执行漏洞的声明

    对于日前 XXL-JOB 被各大云厂商报出存在远程命令执行漏洞的情况,XXL-JOB 作者表示此问题本质上不是“漏洞”,因为官网版本已提供鉴权组件,开启即可防护。具体回应如下: 该问题

    开源资讯】cppweb 1.0.2 发布,基于 C++ 开发的 Web 服务器

    cppweb是一个基于C++开发的 WEB 服务器,支持C/C++、Python、Java等多语言混合开发WEB应用。 cppweb同时也是一个跨平台的微服务开发框架,通过两个核心组件

    开源中国」公布 2019 年度最受欢迎中国开源软件,一个.NET都没

    经过 22 天的投票评选,今天 2019 年度最受欢迎中国开源软件产生了。

    2017编程语言“名人榜”揭晓,C语言夺冠

    2017年度编程语言榜单公布啦!C语言登顶,Python紧随其后!

    开源推荐】基于 Go 语言的轻量级高性能日志库 logit使用及测评

    logit 是一个简单易用并且是基于级别控制的日志库,可以应用于所有的 GoLang 应用程序中。

    开源推荐」Nginx可视化配置工具—NginxWebUI,小白也可以玩转

    包括http协议转发, tcp协议转发, 反向代理, 负载均衡, ssl证书自动申请、续签、配置等

    2021 最火的开发语言会是谁?

    哪种语言会比较火🔥? 开发语言的走势一直都在牵动程序员的心。 2020 已经过半,是时候分析下明年的趋势了。 下面咱们就看下权威的行业数据,看看 2021 可能排在前 3 的开发语言都有谁

    微型Java开发框架Solon 1.1发布,QPS达10万+

    简介 Solon 是一个微型的Java开发框架。项目从2018启动以来,参考过大量前人作品;历时两,2700多次的commit;内核保持0.1m的身材,超高的Web跑分,良好的使用体验

    开源资讯」Gradle 6.7 发布,增量构建改进

    Gradle 6.7 已经发布。Gradle 是一个基于 Apache Ant 和 Apache Maven 概念的项目自动化构建工具,支持依赖管理和多项目,类似 Maven,但之简单轻便。它使用

    GitHub精选:201811月份最热门的Java开源项目

    又到了揭晓 11 月份最热门 Java 开源项目排名的时候了,在本月的名单中,出现了几个新面孔,如Java 核心知识库、轻量级容错组件Resilience4j .....

    抱歉,前端兄弟们,我拖后腿了

    开源中国最新统计的2019最受开发者欢迎的开源软件排名

    开源资讯」Atom 1.52.0 和1.53.0-beta0发布,跨平台文本编辑器

    Atom 同时发布了 1.52.0 和 1.53.0-beta0 版本。Atom 是 GitHub 专门为程序员推出的一个跨平台文本编辑器。具有简洁和直观的图形用户界面,并有很多有趣的特点:支持

    连续三蝉联第一,Flink 荣膺全球最活跃的 Apache 开源项目(附课程)

    2020,一个注定会被历史铭记的一。在全球化合作受到挑战的大环境下,作为全球最大的开源软件基金会,Apache 软件基金所引领的开源社区,依然汇聚了全球的顶尖开发人员,交出了一份鼓舞人心的成绩单

    WebMIS 1.0.0 beta.3 发布,全栈开发基础框架

    全栈开发基础框架,包括 PHP / Python / SpringBoot / Phalcon / Flutter / NodeJS / Vue / Swoole / Redis / API 等技术

    开源资讯】GraalVM 20.3 发布,高性能跨语言虚拟机

    GraalVM 20.3 已发布。GraalVM 是 Oracle 打造的高性能跨语言虚拟机,支持运行 JavaScript、Python 3、Ruby、R

    开源资讯】Ant Design 4.0.1 发布,企业级 UI 设计语言

    Ant Design 是阿里开源的一套企业级的 UI 设计语言和 React 实现,使用 TypeScript 构建。

    开源资讯」ShopXO 开源商城,批量导入淘宝、天猫商品插件发布

    最近在OSCHINA上看到有博主开源了全套的商城源码