RiskS发布了一份新报告,该报告提供了有关目前热门的开源软件中漏洞的深入发现,其中包括武器化漏洞数、哪种软件最容易受到威胁、攻击的最主要类型等内容。 该报告并没有包含Linux、WordPress、Drupal等这些经常受到监控的超级流行项目。而是观察了一些对大众来说并不是很知名,但却被技术和软件社区广泛采用的其他热门开源项目,其中包括Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等。 RiskSense查看了50个最受欢迎的开源软件项目,发现: 漏洞涵盖了从开发测试、编排、容器以及工作负荷之内的现代开发的所有阶段 开源正以前所未有的速度产生新的漏洞 国家漏洞数据库(NVD)列表在开源软件漏洞方面很落后特别是对于那些具有最高CVSS严重性的漏洞。 报告结果表明,这些开源软件中的总漏洞数在2019年增加了一倍以上,从2018年的421个增长到了去年的968个。并指出,将开源软件漏洞添加到国家漏洞数据库(NVD)所需的时间非常长,从公开披露到包含,平均需要54天。这种延迟可能导致组织在近两个月的时间内仍面临严重的应用程序安全风险。且这种长时间的延迟存在于在所有级别的漏洞上,包括被评为“严重”的漏洞和已被武器化的漏洞。 RiskSense首席执行官SrinivasMukkamala表示:“虽然开源代码因为是经过众包审查以发现问题,通常被认为比商业软件更安全,但这项研究表明开源软件漏洞正在上升,并且可能成为许多组织的盲点。”“由于开源代码在当今到处都有使用和重用,一旦发现漏洞,它们将产生难以置信的深远影响。” 其他发现包括有,Jenkins自动化服务器总体上拥有最多的CVE,数量为646。紧随其后的是MySQL,数量为624。同时,这两个开源软件项目的武器化漏洞也各占15个。相比之下,HashiCorp的Vagrant总共只有9个CVE,但是其中包含了6个武器化漏洞。 此外,ApacheTomcat、Magento、Kubernetes、E和JB也都存在着一些流行漏洞。而跨站点脚本(XSS)和输入验证漏洞则是该研究中最常见和武器化程度最高的漏洞之一。
NAND闪存合约价格三季度将持平此前预计二季度环比上涨15Alphabet旗下自动驾驶部门Waymo首席安全官离职仅上建议逐步禁止生产销售电子烟是怎么回事?具体情况介绍特斯拉美国两大工厂恢复运作,员工最多无薪休假至5月底英伟达预计2021财年第二财季营收仍将大幅增长,达36。5亿英伟达宣布6月26日派发股息,股票回购时间仍未确定【财经早餐】2020。04。17星期五特朗普要把供应链搬回美国Intel回应:80业务在海外台积电太够意思了,5nm产能力保华为麒麟1020处理器瑞幸咖啡复盘三日股价累计跌幅68,市值仅剩3。5亿美元这届天猫618营销,有啥不一样?6个不要花钱的图片网站!免费商用,随便下载!珍藏!