一项分析前 54 个开源项目的研究发现,这些工具中的安全漏洞在 2019 年翻了一番,从 2018 年的 421 个 bug 到去年的 968 个。根据 RiskSense 今天发布的 “开源的黑暗现实 “报告,该公司在 2015 年至 2020 年 3 月期间发现流行的开源项目中报告了 2694 个 bug。
该报告并不包括 Linux、WordPress、Drupal 等超级流行的免费工具项目,因为这些项目经常受到监控,安全 bug 也会成为新闻,确保这些安全问题大多能相当快地得到修补。
相反,RiskSense 观察了其他流行的开源项目,这些项目并不那么知名,但被技术和软件社区广泛采用。其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。
RiskSense 表示,他们在研究过程中发现的一个主要问题是,他们分析的大量安全漏洞在公开披露后许多周后才被报告到国家漏洞数据库(NVD)。该公司表示,这 54 个项目中发现的 bug 通常平均需要 54 天左右时间才会被报告给 NVD,其中 PostgreSQL 的报告延迟时间达到了 8 个月。由于网络安全和 IT 软件公司使用 NVD 数据库来创建和发送安全警报,报告延迟导致使用这些开源项目的公司仍然暴露在攻击面前。
RiskSense 表示,自 2015 年以来,在其分析的所有 54 个项目中,Jenkins 自动化服务器和 MySQL 数据库服务器的武器化漏洞最多,均为 15 个。虽然其他开源项目的 bug 较少,但这些 bug 有时更容易被武器化,例如 Vagrant 虚拟化软件和 Alfresco 内容管理系统当中的 bug。
RiskSense 认为,现在不仅需要改进开源项目内部处理安全漏洞的方式,而且需要整个行业进行改进,因为开源项目正在以历史性的速度产生新漏洞。