日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
bug越找越多,19年開源項目中bug數(shù)量激增近50%

大數(shù)據(jù)文摘出品

成都創(chuàng)新互聯(lián)長期為上千客戶提供的網(wǎng)站建設(shè)服務(wù),團(tuán)隊從業(yè)經(jīng)驗10年,關(guān)注不同地域、不同群體,并針對不同對象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺,與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為湞江企業(yè)提供專業(yè)的成都網(wǎng)站建設(shè)、成都做網(wǎng)站湞江網(wǎng)站改版等技術(shù)服務(wù)。擁有十載豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

來源:theregister

編譯:lin

根據(jù)安全業(yè)務(wù)機(jī)構(gòu)WhiteSource的數(shù)據(jù),2019年開源項目中的漏洞bug報告數(shù)量激增了近50%,某種意義上講這是件好事,因為你是無法發(fā)現(xiàn)那些你不去找的bug的。

在其年度漏洞bug報告中,該公司將bug數(shù)量的增長歸因于對開源安全性意識的提高。這是由于近年來開放源代碼組件的廣泛采用以及社區(qū)整體發(fā)展的結(jié)果,更不用說媒體對數(shù)據(jù)公開的關(guān)注了。

換句話說,bug一直在那,但是因為我們更加關(guān)注所以他們變得更加易見。

去年有超過6000個開源bug被報告,從僅僅有約4000個漲上來。

在一封給用戶的電子郵件中,WhiteSource的CEO見聯(lián)合創(chuàng)始人Rami Sass說:“沒有完美的代碼,總有些bug會被發(fā)現(xiàn)。”

“開源漏洞bug的問題是,像開源社區(qū)中的所有事物一樣,一旦報告了,那所有信息都是公開的,并且每個初學(xué)者都可以了解該bug并加以利用,然后在大量應(yīng)用程序上執(zhí)行該bug?!?/p>

從好的方面來說,其中85%的漏洞bug在披露時已得到修復(fù),這樣bug也算沒白找。

但是,社區(qū)對漏洞bug的意識并沒有轉(zhuǎn)化為關(guān)于bug的有效溝通。最終,只有84%的已知開源漏洞bug最終出現(xiàn)在國家bug數(shù)據(jù)庫(NVD)上,并且經(jīng)常都有延遲。

根據(jù)WhiteSource的數(shù)據(jù),當(dāng)漏洞bug在NVD之外報告時,最終只有29%的bug在該處發(fā)布。這意味著可能不容易找到bug信息,并且很可能不會得到及時修復(fù)。

盡管如此,WhiteSource還是公開表揚(yáng)了像GitHub的安全實驗室那樣的以社區(qū)為中心的舉措,可以幫助安全研究人員,項目維護(hù)人員和軟件用戶更容易地報告問題以及匯集信息。

該調(diào)查還研究了不同編程語言的開源項目漏洞bug的數(shù)量以及這些數(shù)量隨著時間的變化。

WhiteSource表示C仍然是bug率最高的編程語言,因為就代碼行數(shù)而言C是最受歡迎的語言,但是隨著其他語言的流行,C的數(shù)量呈下降趨勢。

該報告指出,盡管,“PHP的相對漏洞bug數(shù)量已經(jīng)顯著增加,但還沒有跡象表明流行程度方面同樣有所上升?!?/p>

同時,Python試圖達(dá)到高流行度但低bug率。報告說:“希望這是安全編碼實踐的結(jié)果,而不是對Python項目的安全性研究不嚴(yán)格的結(jié)果。”

2019年最最常見的弱點(diǎn)枚舉(CWEs)如下:

[[320159]]

通過對編程語言進(jìn)行分析,在除C外的所有語言中均排名前三位的如下:

WhiteSource將這些缺陷在各種語言中的共性歸因于使用自動掃描工具,這些工具知道如何查找這些特定問題。該公司還指出,信息公開只是跨語言的普遍問題。

Sass說:“ CWE-79(跨站點(diǎn)腳本)是攻擊者最容易利用的漏洞bug之一,因為有許多的自動化工具,導(dǎo)致即使是“新手”黑客也可以利用它?!?Sass指出CWE代表一個分類而不是一個特定的漏洞。

“隨著開源社區(qū)使用量的巨大增長,攻擊者開始發(fā)現(xiàn)利用開源漏洞bug的潛力。CWE-79漏洞是輕松輕松地進(jìn)行黑客攻擊的首選漏洞bug。考慮到這一點(diǎn),它的大規(guī)模增長就很合邏輯了?!?/p>

隨著漏洞報告數(shù)量的增加,開發(fā)團(tuán)隊受益于可以優(yōu)先解決關(guān)鍵漏洞bug,然后再查看不太嚴(yán)重的漏洞。由于通用漏洞評分系統(tǒng)(CVSS)評估漏洞嚴(yán)重性的方式發(fā)生了變化,這已變得愈發(fā)復(fù)雜。

CVSSv2于2007年6月首次亮相,CVSSv3是2015年6月,CVSSv3.1于2019年6月發(fā)布。每個都對構(gòu)成高危漏洞的定義稍有不同。

根據(jù)WhiteSource的說法,最大的變化來自從v2到v3的遷移,v2下的一個7.6的嚴(yán)重bug(以10為基數(shù))在v3下重新定義為9.8。

WhiteSource認(rèn)為,在v3.1下,嚴(yán)重性分布不是正態(tài)分布,其中17%的漏洞bug為嚴(yán)重bug,只有2%的漏洞bug為低級。

這意味著超過一半的額定bug是關(guān)鍵bug或高危bug,這使得當(dāng)所有問題都應(yīng)立即修復(fù)時,很難確定優(yōu)先級。

Sass說:“隨著報告的漏洞數(shù)量增加,修補(bǔ)這些漏洞的緊迫性也隨之增加?!?“盡管如此,開發(fā)團(tuán)隊依然正在努力跟上步伐?!?/p>
標(biāo)題名稱:bug越找越多,19年開源項目中bug數(shù)量激增近50%
標(biāo)題鏈接:http://www.5511xx.com/article/cdchgsc.html