开源组件是当今许多软件应用程序的基础,但这使它们在安全性方面受到越来越严格的审查。
开源管理专家WhiteSource发布了一份新报告,该报告显示2019年公开的开源软件漏洞激增至6000多个,增长了近50%。
好消息是,已经披露了超过85%的开源漏洞,并且已经提供了修复程序。但是,有关漏洞的信息并没有在一个集中的位置发布,而是分散在数百种资源中,有时索引编制不正确,这常常使搜索特定数据成为一个挑战。
根据WhiteSource的数据库,最终在NVD(国家漏洞数据库)之外报告的所有开源漏洞中,只有29%最终发布在其中。
此外,研究人员比较了2019年报告的开源漏洞时排名前七的编码语言的堆积方式,然后将这些数字与过去十年的数量进行了比较。
由于使用这种语言编写的大量代码,C仍然具有最高的漏洞百分比。PHP的相对漏洞数量已大大增加,而没有迹象表明流行程度同样有所提高。尽管Python(尤其是在开源社区中)的普及率持续上升,但其漏洞百分比相对较低。
该报告还考虑了CVSS(通用漏洞评分系统)分数是否是补救优先级的最佳方法。在过去的几年中,CVSS已进行了多次更新,以期达到可衡量的,客观的标准,从而为所有组织和行业提供支持。但是在此过程中,它也改变了高严重性漏洞的定义。这意味着在CVSS v2下被定为7.6的漏洞在CVSS v3.0下可能为9.8,这意味着团队面临着更多的高严重性问题。现在,超过55%的用户具有高严重性或严重性。
该报告的作者得出以下结论:
此列表中最重要的一点是,仅因为流行的开源项目具有漏洞,并不意味着它们本身就不安全。
这仅意味着作为开源项目的用户,您需要了解安全风险,并确保保持开源依赖关系的最新状态。
开源组件已成为我们软件项目不可或缺的一部分。乍一看,开放源代码漏洞的格局似乎复杂而富有挑战性,但是有一些方法可以使人们对组成我们发布的产品的开放源代码组件具有可见性并加以控制。