去年开源软件漏洞同比增长近50%,有6000多个
whitesource通过对 650 多个开发人员进行了调查,并从nvd(nartional vulnerability database)、安全公告、经过同行评审的漏洞数据库、问题跟踪程序等渠道收集了数据之后,整理发布了一份研究报告。该报告显示,2019 年公开的开源软件漏洞数已激增至 6000 多个,同比增长了近 50%。
值得庆幸的是,其中有 85%的漏洞已被披露,并提供了相应的修复程序。
不过报告也指出,遗憾的是,最终只有 84% 的已知开源漏洞出现在 nvd 中。且有关漏洞的信息并没有集中在一个位置发布,而是分散在数百种资源中。因此,一旦出现索引编制不正确的状况时,就会使得搜索特定数据变得愈发艰难。
而报告的开源漏洞也中有 45% 并未是最初就报告给 nvd 的,许多漏洞是在其他渠道中被报告数月后才在 nvd 中发布。在nvd 之外报告的所有开源漏洞中,也只有 29% 最终被登记在册。
此外,研究人员还对 2019 年漏洞排名前七的编程语言进行了比较,并将其与过去十年的数量进行了比较。结果发现,在这几种语言中,历史基础最好的c 语言占有最高的漏洞百分比。php 的相对漏洞数量也在大幅增加,但没有迹象表明其流行度有同样的提升。而 python方面,尽管该语言在开源社区中的普及率在持续上升,但其漏洞百分比仍相对较低。
另一方面,该报告还考虑了通用漏洞评分系统(common vulnerability scoring system,cvss)的数据是否是衡量补漏优先级的最佳标准。cvss在过去的几年中已进行了多次更新,以期达到为可对所有组织和行业提供支持的客观可衡量标准。然而在此过程中,它也改变了高严重性漏洞的定义。举例来说就是,此举意味着此前在 cvss v2 下被定为 7.6 的漏洞,在 cvss v3.0标准下就可能被定为 9.8,这也意味着团队会面临着更多的高严重性问题。现在,已有超过 55% 的用户具有高严重性或严重性问题。
报告预测,在 2020 年,开源软件漏洞的数量还会持续增长。不过与此同时,一些针对开源安全系统的计划也在不断推进。
最后,报告作者也总结称,“最重要的一点是,列表中提及的开源项目具有漏洞并不意味着它们就不安全。这仅意味着作为开源项目的用户,您需要了解安全风险,并确保保持开源依赖关系的最新状态。”
解锁物联网开发的开源硬件和软件关键
教大家如何处理x86处理器中MSI-X中断请求
Samtec信号完整性设计 | 创新技术和卓越服务的整合
2020年中日产业构造分析:汽车制造的变化对产业影响
485终端电阻的作用
去年开源软件漏洞同比增长近50%,有6000多个
如何提升变压器效率,有什么有效方法吗
中国军用电子元器件国产化率比较高 但还有20%左右需要进口
余承东:旗舰智能手机方面,两年内华为的半数设备可以折叠
高性能、多通道、同时采样ADC在数据采集系统(DAS)中的设
鸿蒙2.0来了,推出超级终端概念
现代编译器的可读性胜过调试
千兆位设备在PCB信号完整性设计中的应用解析
这次不限量!华为Mate8开放EMUI5.0升级!
肉制品检测仪器设备的参数介绍以及应用领域
焊接切割操作触电事故的原因及预防措施
智能化风向引领环境传感器升级
已有4290家企业申报,2021金盾榜申报火热进行中
java中的final关键字所起的作用解析
LTE芯片和终端测试综述
值得庆幸的是,其中有 85%的漏洞已被披露,并提供了相应的修复程序。
不过报告也指出,遗憾的是,最终只有 84% 的已知开源漏洞出现在 nvd 中。且有关漏洞的信息并没有集中在一个位置发布,而是分散在数百种资源中。因此,一旦出现索引编制不正确的状况时,就会使得搜索特定数据变得愈发艰难。
而报告的开源漏洞也中有 45% 并未是最初就报告给 nvd 的,许多漏洞是在其他渠道中被报告数月后才在 nvd 中发布。在nvd 之外报告的所有开源漏洞中,也只有 29% 最终被登记在册。
此外,研究人员还对 2019 年漏洞排名前七的编程语言进行了比较,并将其与过去十年的数量进行了比较。结果发现,在这几种语言中,历史基础最好的c 语言占有最高的漏洞百分比。php 的相对漏洞数量也在大幅增加,但没有迹象表明其流行度有同样的提升。而 python方面,尽管该语言在开源社区中的普及率在持续上升,但其漏洞百分比仍相对较低。
另一方面,该报告还考虑了通用漏洞评分系统(common vulnerability scoring system,cvss)的数据是否是衡量补漏优先级的最佳标准。cvss在过去的几年中已进行了多次更新,以期达到为可对所有组织和行业提供支持的客观可衡量标准。然而在此过程中,它也改变了高严重性漏洞的定义。举例来说就是,此举意味着此前在 cvss v2 下被定为 7.6 的漏洞,在 cvss v3.0标准下就可能被定为 9.8,这也意味着团队会面临着更多的高严重性问题。现在,已有超过 55% 的用户具有高严重性或严重性问题。
报告预测,在 2020 年,开源软件漏洞的数量还会持续增长。不过与此同时,一些针对开源安全系统的计划也在不断推进。
最后,报告作者也总结称,“最重要的一点是,列表中提及的开源项目具有漏洞并不意味着它们就不安全。这仅意味着作为开源项目的用户,您需要了解安全风险,并确保保持开源依赖关系的最新状态。”
解锁物联网开发的开源硬件和软件关键
教大家如何处理x86处理器中MSI-X中断请求
Samtec信号完整性设计 | 创新技术和卓越服务的整合
2020年中日产业构造分析:汽车制造的变化对产业影响
485终端电阻的作用
去年开源软件漏洞同比增长近50%,有6000多个
如何提升变压器效率,有什么有效方法吗
中国军用电子元器件国产化率比较高 但还有20%左右需要进口
余承东:旗舰智能手机方面,两年内华为的半数设备可以折叠
高性能、多通道、同时采样ADC在数据采集系统(DAS)中的设
鸿蒙2.0来了,推出超级终端概念
现代编译器的可读性胜过调试
千兆位设备在PCB信号完整性设计中的应用解析
这次不限量!华为Mate8开放EMUI5.0升级!
肉制品检测仪器设备的参数介绍以及应用领域
焊接切割操作触电事故的原因及预防措施
智能化风向引领环境传感器升级
已有4290家企业申报,2021金盾榜申报火热进行中
java中的final关键字所起的作用解析
LTE芯片和终端测试综述