日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

大數(shù)據(jù)文摘出品

成都創(chuàng)新互聯(lián)長(zhǎng)期為上千客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開(kāi)放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為湞江企業(yè)提供專業(yè)的成都網(wǎng)站建設(shè)、成都做網(wǎng)站，湞江網(wǎng)站改版等技術(shù)服務(wù)。擁有十載豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

來(lái)源：theregister

編譯：lin

根據(jù)安全業(yè)務(wù)機(jī)構(gòu)WhiteSource的數(shù)據(jù)，2019年開(kāi)源項(xiàng)目中的漏洞bug報(bào)告數(shù)量激增了近50%，某種意義上講這是件好事，因?yàn)槟闶菬o(wú)法發(fā)現(xiàn)那些你不去找的bug的。

在其年度漏洞bug報(bào)告中，該公司將bug數(shù)量的增長(zhǎng)歸因于對(duì)開(kāi)源安全性意識(shí)的提高。這是由于近年來(lái)開(kāi)放源代碼組件的廣泛采用以及社區(qū)整體發(fā)展的結(jié)果，更不用說(shuō)媒體對(duì)數(shù)據(jù)公開(kāi)的關(guān)注了。

換句話說(shuō)，bug一直在那，但是因?yàn)槲覀兏雨P(guān)注所以他們變得更加易見(jiàn)。

去年有超過(guò)6000個(gè)開(kāi)源bug被報(bào)告，從僅僅有約4000個(gè)漲上來(lái)。

在一封給用戶的電子郵件中，WhiteSource的CEO見(jiàn)聯(lián)合創(chuàng)始人Rami Sass說(shuō)：“沒(méi)有完美的代碼，總有些bug會(huì)被發(fā)現(xiàn)?！?/p>

“開(kāi)源漏洞bug的問(wèn)題是，像開(kāi)源社區(qū)中的所有事物一樣，一旦報(bào)告了，那所有信息都是公開(kāi)的，并且每個(gè)初學(xué)者都可以了解該bug并加以利用，然后在大量應(yīng)用程序上執(zhí)行該bug。”

從好的方面來(lái)說(shuō)，其中85%的漏洞bug在披露時(shí)已得到修復(fù)，這樣bug也算沒(méi)白找。

但是，社區(qū)對(duì)漏洞bug的意識(shí)并沒(méi)有轉(zhuǎn)化為關(guān)于bug的有效溝通。最終，只有84%的已知開(kāi)源漏洞bug最終出現(xiàn)在國(guó)家bug數(shù)據(jù)庫(kù)(NVD)上，并且經(jīng)常都有延遲。

根據(jù)WhiteSource的數(shù)據(jù)，當(dāng)漏洞bug在NVD之外報(bào)告時(shí)，最終只有29%的bug在該處發(fā)布。這意味著可能不容易找到bug信息，并且很可能不會(huì)得到及時(shí)修復(fù)。

盡管如此，WhiteSource還是公開(kāi)表?yè)P(yáng)了像GitHub的安全實(shí)驗(yàn)室那樣的以社區(qū)為中心的舉措，可以幫助安全研究人員，項(xiàng)目維護(hù)人員和軟件用戶更容易地報(bào)告問(wèn)題以及匯集信息。

該調(diào)查還研究了不同編程語(yǔ)言的開(kāi)源項(xiàng)目漏洞bug的數(shù)量以及這些數(shù)量隨著時(shí)間的變化。

WhiteSource表示C仍然是bug率最高的編程語(yǔ)言，因?yàn)榫痛a行數(shù)而言C是最受歡迎的語(yǔ)言，但是隨著其他語(yǔ)言的流行，C的數(shù)量呈下降趨勢(shì)。

該報(bào)告指出，盡管，“PHP的相對(duì)漏洞bug數(shù)量已經(jīng)顯著增加，但還沒(méi)有跡象表明流行程度方面同樣有所上升?！?/p>

同時(shí)，Python試圖達(dá)到高流行度但低bug率。報(bào)告說(shuō)：“希望這是安全編碼實(shí)踐的結(jié)果，而不是對(duì)Python項(xiàng)目的安全性研究不嚴(yán)格的結(jié)果?！?/p>

2019年最最常見(jiàn)的弱點(diǎn)枚舉(CWEs)如下：

[[320159]]

通過(guò)對(duì)編程語(yǔ)言進(jìn)行分析，在除C外的所有語(yǔ)言中均排名前三位的如下：

WhiteSource將這些缺陷在各種語(yǔ)言中的共性歸因于使用自動(dòng)掃描工具，這些工具知道如何查找這些特定問(wèn)題。該公司還指出，信息公開(kāi)只是跨語(yǔ)言的普遍問(wèn)題。

Sass說(shuō)：“ CWE-79(跨站點(diǎn)腳本)是攻擊者最容易利用的漏洞bug之一，因?yàn)橛性S多的自動(dòng)化工具，導(dǎo)致即使是“新手”黑客也可以利用它?！?Sass指出CWE代表一個(gè)分類而不是一個(gè)特定的漏洞。

“隨著開(kāi)源社區(qū)使用量的巨大增長(zhǎng)，攻擊者開(kāi)始發(fā)現(xiàn)利用開(kāi)源漏洞bug的潛力。CWE-79漏洞是輕松輕松地進(jìn)行黑客攻擊的首選漏洞bug?？紤]到這一點(diǎn)，它的大規(guī)模增長(zhǎng)就很合邏輯了。”

隨著漏洞報(bào)告數(shù)量的增加，開(kāi)發(fā)團(tuán)隊(duì)受益于可以優(yōu)先解決關(guān)鍵漏洞bug，然后再查看不太嚴(yán)重的漏洞。由于通用漏洞評(píng)分系統(tǒng)(CVSS)評(píng)估漏洞嚴(yán)重性的方式發(fā)生了變化，這已變得愈發(fā)復(fù)雜。

CVSSv2于2007年6月首次亮相，CVSSv3是2015年6月，CVSSv3.1于2019年6月發(fā)布。每個(gè)都對(duì)構(gòu)成高危漏洞的定義稍有不同。

根據(jù)WhiteSource的說(shuō)法，最大的變化來(lái)自從v2到v3的遷移，v2下的一個(gè)7.6的嚴(yán)重bug(以10為基數(shù))在v3下重新定義為9.8。

WhiteSource認(rèn)為，在v3.1下，嚴(yán)重性分布不是正態(tài)分布，其中17%的漏洞bug為嚴(yán)重bug，只有2%的漏洞bug為低級(jí)。

這意味著超過(guò)一半的額定bug是關(guān)鍵bug或高危bug，這使得當(dāng)所有問(wèn)題都應(yīng)立即修復(fù)時(shí)，很難確定優(yōu)先級(jí)。

Sass說(shuō)：“隨著報(bào)告的漏洞數(shù)量增加，修補(bǔ)這些漏洞的緊迫性也隨之增加?！?“盡管如此，開(kāi)發(fā)團(tuán)隊(duì)依然正在努力跟上步伐。”

分享標(biāo)題：bug越找越多，19年開(kāi)源項(xiàng)目中bug數(shù)量激增近50%
轉(zhuǎn)載注明：http://www.dlmjj.cn/article/cdchgsc.html