风险管理公司RiskSense在分析了54个开源项目后发现,在2015年到2020年之间,总共有近2,700个漏洞被上报。总体来看,Jenkins自动服务器和MySQL在这段时间里被发现的漏洞最多,每个都有超过600个漏洞;其中,两者分别都有15个漏洞被利用进行攻击。

对于部分项目,如Vagrant、Alfresco与Artifactory等,只有少数漏洞,但是被武器化比例较高。比如Vagrant与Alfresco,都只有9个漏洞被发现,但是分别有6个与3个漏洞被武器化。

RiskSense也统计了这些漏洞被加入NVD的速度。平均而言,一个漏洞从被发现到加入NVD大约花费54天,但是有119个CVE过了超过一年才被加入NVD。而一个影响到PostgreSQL的严重漏洞,在1,817天以后才被加入NVD,是RiskSense发现的加入耗时最长的漏洞。

而对于2019年的数据,RiskSense发现CVE数量为968个,相比2018年的421个CVE增加了130%。不过,去年被披露的漏洞中,只有15个被武器化了。

2020年第一季度总共有179个漏洞被披露,其中农5个被武器化。

这些漏洞中,会造成信息泄露的漏洞比例最高,其次是跨站点脚本攻击以及缺乏输入验证;后两者有最高的武器化漏洞数量。

“一些漏洞比较少见,但依然在现有的攻击中非常多。”RiskSense在报告中提到,“反序列化(28个CVE)、代码注入(16个CVE)、错误处理问题(2个CVE)、以及容器错误(1个CVE)都在环境中被发现利用。尽管这些问题在开源项目中相对少见,表示开源代码还依然有一定的安全性,但是依然要注意,一旦这些问题在开源系统中出现,它们就能被利用进行大范围攻击。”

报告还指出有十几个漏洞,即使没有已经被利用进行各种攻击,也因为它们的可被利用性或者潜在影响,存在极高的风险。这些漏洞影响的开源软件包括Jenkins、JBoss、Apache Tomcat、Docker、Kubernetes、Elasticsearch、Magento、以及Git。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。