RiskSense  發(fā)布了一份新報告，該報告提供了有關目前熱門的開源軟件中漏洞的深入發(fā)現(xiàn)，其中包括武器化漏洞數(shù)、哪種軟件最容易受到威脅、攻擊的最主要類型等內(nèi)容。



該報告并沒有包含 Linux、WordPress、Drupal 等這些經(jīng)常受到監(jiān)控的超級流行項目。而是觀察了一些對大眾來說并不是很知名，但卻被技術和軟件社區(qū)廣泛采用的其他熱門開源項目，其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等。

RiskSense 查看了 50 個最受歡迎的開源軟件項目，發(fā)現(xiàn)：

漏洞涵蓋了從開發(fā) / 測試、編排、容器以及工作負荷之內(nèi)的現(xiàn)代開發(fā)的所有階段

開源正以前所未有的速度產(chǎn)生新的漏洞

國家漏洞數(shù)據(jù)庫（NVD）列表在開源軟件漏洞方面很落后 - 特別是對于那些具有最高 CVSS 嚴重性的漏洞。

報告結(jié)果表明，這些開源軟件中的總漏洞數(shù)在 2019 年增加了一倍以上，  從 2018 年的 421 個增長到了去年的 968 個。并指出，將開源軟件漏洞添加到國家漏洞數(shù)據(jù)庫（NVD）所需的時間非常長，從公開披露到包含，平均需要 54 天。這種延遲可能導致組織在近兩個月的時間內(nèi)仍面臨嚴重的應用程序安全風險。且這種長時間的延遲存在于在所有級別的漏洞上，包括被評為 “嚴重”的漏洞和已被武器化的漏洞。

RiskSense 首席執(zhí)行官 Srinivas Mukkamala 表示：“雖然開源代碼因為是經(jīng)過眾包審查以發(fā)現(xiàn)問題，通常被認為比商業(yè)軟件更安全，但這項研究表明開源軟件漏洞正在上升，并且可能成為許多組織的盲點。” “由于開源代碼在當今到處都有使用和重用，一旦發(fā)現(xiàn)漏洞，它們將產(chǎn)生難以置信的深遠影響。”

其他發(fā)現(xiàn)包括有，Jenkins 自動化服務器總體上擁有最多的 CVE，數(shù)量為 646。緊隨其后的是 MySQL，數(shù)量為 624。同時，這兩個開源軟件項目的武器化漏洞也各占 15 個。相比之下，HashiCorp 的 Vagrant 總共只有 9 個 CVE，但是其中包含了 6 個武器化漏洞。

此外，Apache Tomcat、Magento、Kubernetes、Elasticsearch  和 JBoss  也都存在著一些流行漏洞。而跨站點腳本（XSS）和輸入驗證漏洞則是該研究中最常見和武器化程度最高的漏洞之一。