2019 年热门开源项目的安全漏洞增加一倍
云栖号资讯:【点击查看更多行业资讯】
在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来!
近日,安全公司 RiskSense 发布了一份名为“The Dark Reality of Open Source" 的报告。通过分析 54 个热门开源项目,这家公司发现这些开源项目中的安全漏洞数量在 2019 年增加一倍,从 2018 年的 421 个漏洞增加至 2019 年的 968 个。
据悉,该报告并不包括 Linux、WordPress、Drupal 等超级流行的免费工具项目,而是观察了其他流行的开源项目,它们虽然不是很出名,但却被技术和软件社区广泛采用,其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。
报告表明,2019 年公开披露的开源软件漏洞数为 968,相比 2018 年的 421 个漏洞,安全漏洞数量增长 130%。统计显示,从 2015 年到 2020 年(3 月)流行的开源项目累计有 2694 个漏洞。
RiskSense 表示,它们从报告中发现的另一大问题是大量的安全漏洞在公开披露数周后才报告给 NVD(美国国家漏洞数据库)。据了解,漏洞从首次公开披露到报告给 NVD,这个时间平均要花 54 天,而 PostgreSQL 和 MongoDB 则需要花费 8 个月的时间。
更令人震惊的是,有一个严重的 PostgreSQL 漏洞从首次公开披露到报告给 NVD,花了 1817 天。
考虑到业界很多网络安全和 IT 软件公司都利用 NVD 数据库来建立和发送安全警报,一旦漏洞报告延迟,这将导致使用这些开源项目的企业暴露在攻击面前。并且,这还给威胁行为者创造了机会,让它们可以创建和部署漏洞利用程序——导致安全漏洞的“武器化”。
根据统计,在 54 个开源项目中,Jenkins 和 MySQL 的安全漏洞数量最多,其中,Jenkins 有 646 个安全漏洞,MySQL 紧随其后,有 624 个安全漏洞。同时,它们的武器化漏洞也是遥遥领先,分别是 15 个。虽然其他开源项目的漏洞较少,但这些漏洞更容易被武器化,比如 Vagrant 虚拟化软件和 Alfresco 内容管理系统当中的安全漏洞。
此外,Apache Tomcat、Magento、Kubernetes、Elasticsearch 和 JBoss 均含有一些很流行的安全漏洞。
RiskSense 总结道,开源项目在当今软件世界举足轻重,因此需要进一步改进开源项目乃至整个行业处理安全漏洞的方式。
【云栖号在线课堂】每天都有产品技术专家分享!
课程地址:https://yqh.aliyun.com/zhibo立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
脸书的 TransCoder 通过 AI 实现编程语言之间的转换,你是否感到饭碗将要不保?
脸书的研究人员宣布,他们开发了一种神经变译器(neural transcompiler)系统,可以将一种高级编程语言的代码转换成另一种,比如将 C++,Java 或 Python 转换成另一种。这个转换过程无需人为监督,可自动搜寻前一种语言中未标注的数据集模式,其效果大幅地好于基于规则的转换。 从当前的代码库转换成另一种先进的高效的语言,比如从 Java 或 C++ 转换成另一种语言,通常代价高昂,因为需要专家同时精通源语言和目标语言。之前,澳洲联邦银行就花费了7.5亿美元耗时五年将他们的平台从 COBOL 升级为 Java。 脸书的 TransCoder 系统可以在 C++,Java 和 Python 之间互翻,智能学习,无人监管。TransCoder 初始化时,进行跨语言的模型关联性分析,在不同语言中找到具有映射关系的代码片段,即相通的指令实现相同的表现。源语言的代码被随机的“遮住”,TransCoder 的任务就是基于上下文推断出被“遮住”的部分。去燥自动编码的过程训练系统生成有效的序列,即使输入的是噪点数据。同时,回译(back-translation)使得 TransCode...
- 下一篇
SaaS模式云数据仓库MaxCompute发布企业级新能力:兼顾成本与性能,持续保护云上数据及服务安全
2020年6月9日,阿里云 MaxCompute 全新发布企业级新能力,在成本、性能、安全方面,持续定义企业级SaaS模式云数据仓库,通过 “云数据仓库+” 的新模式,帮助企业实现数字经济新优势。 据介绍,最新发布的算力资源解决方案中,多计算资源打通方案融合了包年包月与按需使用两种资源调配方式,针对日常业务稳定并伴随突发计算需求的实际业务场景,可实现更优的成本与性能平衡;抢占算力资源方案,则针对测试、非紧急作业等业务场景,可实现计算资源价格较包年包月标准计算资源下降74%。此次安全能力方面的发布包含数据安全加密、持续备份恢复、实时审计日志和跨地域容灾备份。安全能力的全面升级将MaxCompute平台系统安全能力提升到了更高的水平。MaxCompute原名ODPS,是阿里云飞天系统三大件中大数据计算的部分。 历经十年发展,MaxCompute支撑着阿里巴巴经济体内部所有的业务,存储着阿里巴巴经济体超过99%的数据,提供了95%以上的计算力,同时服务着阿里云上各行业的数千家企业。 阿里云智能研究员,MaxCompute计算平台负责人关涛表示,大数据领域,经过10年的发展,已实现普惠化,并且...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS关闭SELinux安全模块
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Red5直播服务器,属于Java语言的直播服务器