近日, 黑鸭软件(Black Duck Software)发布了开源安全与风险分析(OSSRA)年度报告,报告对 2018 年以来 1200 多个商业代码库的匿名数据进行了分析和研究。对当今的企业来说,开源软件、库和组件往往起着重要的作用。开源代码采用率高有许多原因,其中包括开源社区的许多程序员愿意为项目贡献时间、项目代码的透明性、以及比开发内部系统更少的实现时间等。
在黑鸭审查的所有代码库中,有 96% 包含了开源组件,而大多数没有开源代码的代码库其实包含不到 1000 个文件。在超过 1000 个文件的代码库中,开源代码的采用率高达 99%。
开源代码有着它的安全优势,但也存在着安全漏洞未修补的隐患,开发人员可能没意识到项目正在被安全漏洞影响。在报告审查的代码库中,至少包含一个漏洞的代码库占 60% ,这个数字比 2017 年统计的结果 78% 有所下降。
黑鸭认为,发现的漏洞有 40% 都是关键级的。“事实上,开源并不总是更安全。”报告指出,无论项目源码是专有的还是开源的,都可能因为漏洞的存在,安全性变得薄弱。项目人员应该及时加以识别和修补这些漏洞。
报告中发现漏洞的平均“年龄”为 6.6 岁。其中,老的 CVE-2000-0388 是 FreeBSD libmytinfo 库中的缓冲区溢出漏洞,在 28 年前被披露。报告结果显示,有 43% 的代码库包含一个超过 10 年的 bug。这表明不少企业可能没意识到开源的用处,也没有对组件目录进行系统管理,这些软件没有打新的补丁,更容易被攻击。
“一般只有少数开源漏洞,比如那些影响 ApacheStruts 或 OpenSSL 的漏洞,有可能被广泛利用。”研究人员表示,项目组织应该把他们的开源漏洞管理和缓解工作的重点放在 cvss 评分和漏洞的可用性上,在关注 “0day” 的同时,也应该关注开源组件的生命周期。
来源:开源中国
更多资讯
黑客届“奥斯卡”来了!国际安全技术大牛 5 月底齐聚北京
随着网络安全问题越来越引发全球关注,对黑客、安全漏洞等话题感兴趣的极客和技术爱好者们将在北京迎来盛会。有黑客界“奥斯卡”之称的 DEF CON 近日宣布,即将举办 DEF CON CHINA Baidu 安全行业国际峰会,5月31日至6月2日,数千名全球安全技术大牛将齐聚北京 751D·PARK,同台切磋技艺。
来源: 北京日报客户端
详情: http://t.cn/ESl6YeJ
还在随便下载软件?CNCERT 公布 116 个高危恶意程序
2019 年 2 月期间,国家互联网应急中心(简称“CNCERT”)在范围内继续开展计算机恶意程序传播渠道安全监测工作,对已备案的计算机软件下载站进行安全监测,判定计算机恶意程序 216 个,其中高危恶意程序 116 个,涉及 8 个省份的 11 家软件下载站及应用商店。2019 年 4 月下旬,CNCERT 将本次监测结果形成报告对外发布。
阿桑奇在英被判 50 周监禁处罚
据英国“天空新闻”刚刚消息,维基解密创始人阿桑奇在英被判50个星期监禁。“你曾有一个选择,你选择的行动就是犯罪,”该法院法官德博拉·泰勒在法庭上说,“你没有心甘情愿地投向......你不会自愿到法院来。”随后,泰勒宣布阿桑奇被判“50 周监禁”。
来源: 环球科技
Windows 10 的安全功能使得基于 Chromium 的浏览器运行慢了三倍多
正如 Vivaldi 开发人员所揭示的那样,Windows 10 中内置的安全功能使基于 Chromium 的浏览器在测试环境中的速度降低了三倍多。Yngve Pettersen 在博客文章中解释说,开发人员在将 Windows 10 测试人员添加到 Windows 单元测试集群时发现了这个性能问题。
(信息来源于网络,安华金和搜集整理)
