2019年开放源代码漏洞激增50%

栏目: IT技术 · 发布时间: 4年前

内容简介:WhiteSource最新发布的漏洞报告称,2019年公开的开源软件漏洞数量达到了6,000多个,而2018年仅为4,000多个,数量激增50%!“这可以归因于开源组件的广泛采用以及过去几年开源社区的大规模增长,以及媒体对最近数据泄露的关注和企业对开源安全的意识增强。”报告指出。WhiteSource对650多位开发人员进行了调查,从国家漏洞数据库(NVD)、安全公告、经过同行评审的漏洞数据库、问题跟踪器等收集了数据,发现:

WhiteSource最新发布的漏洞报告称,2019年公开的开源软件漏洞数量达到了6,000多个,而2018年仅为4,000多个,数量激增50%!

“这可以归因于开源组件的广泛采用以及过去几年开源社区的大规模增长,以及媒体对最近数据泄露的关注和企业对开源安全的意识增强。”报告指出。

C语言依然是“漏洞之王”

WhiteSource对650多位开发人员进行了调查,从国家漏洞数据库(NVD)、安全公告、经过同行评审的漏洞数据库、问题跟踪器等收集了数据,发现:

  • 已披露的超过85%的开源安全漏洞已经有可用修复程序;
  • 只有84%的已知开源漏洞被NVD收录,其中一些漏洞在被发现后数月才收录;
  • 由于代码量巨大,C仍然具有最高的漏洞百分比(30%),其次是PHP(27%)和Java(15%)。

2019年开放源代码漏洞激增50%

Python的流行并未导致其漏洞百分率的上升,这到底是因为安全编码实践的结果,还是业界对 Python 项目的安全性研究工作松懈所致不得而知。

2019年开放源代码漏洞激增50%

SQL注入杀回前十

2019年最常见的安全漏洞(CWE)是跨站点脚本漏洞(XSS),其次是不正确的输入验证漏洞和缓冲区错误:

2019年的TOP5漏洞与2018年相比变化不大。2018年,缓冲区错误排在第二位,输入验证漏洞排在第三位,其余部分相同。

研究人员指出:

令人担忧的是,最常见的CWE是简单的代码错误和不准确的编码导致,所有开发人员都可以通过遵守基本的编码标准来避免这种情况。

虽然不在前五名之列,但有趣的是,CWE-352——跨站点请求伪造(CSRF)在今年的前十名CWE中崭露头角,而2015年之后一度沉寂的CWE-89——SQL注入,再次打榜。这可能是由于开源Web项目的数量增加导致Web漏洞激增,Web开发人员在编码时应当重新重视这个问题。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

小白学运营

小白学运营

刘异、伍斌、赵强 / 电子工业出版社 / 2015-9-1 / 49.00元

《小白学运营》是针对网络游戏行业,产品运营及数据分析工作的入门读物,主要为了帮助刚入行或有意从事游戏产品运营和数据分析的朋友。 《小白学运营》没有烦琐的理论阐述,更接地气。基础运营部分可以理解为入门新人的to do list;用户营销部分则是对用户管理的概述,从用户需求及体验出发,说明产品运营与用户管理的依附关系;数据分析实战中,侧重业务分析,着重阐述的是分析框架,以虚拟案例的方式进行陈述,......一起来看看 《小白学运营》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码