开源组件是当今许多软件应用程序的基础,但这也使它们在安全性方面受到越来越多的关注。
开源管理专家WhiteSource发布的一份新报告显示,2019年公开的开源软件漏洞激增至6000多个,增幅近50%。
好消息是,已经披露了超过85%的开源漏洞,已经提供了修复补丁。但是,有关漏洞的信息并未在一个集中的地方发布,而是分散在数百种资源中,而且有时索引编制不正确 - 这常常使搜索特定数据成为一项挑战。
根据WhiteSource的数据库,在NVD (Nartional Vulnerability database)美国国家通用漏洞数据库之外报告的所有开源漏洞中,只有29%被发布。
此外,研究人员还比较了2019年报告的开源漏洞中排名前7位的编码语言的情况,并将这些数字与过去10年进行了比较。
该报告还考虑了CVSS(通用漏洞评分系统)评分是否为基于补救优先级的最佳度量。CVSS已经在过去几年中进行了多次更新,试图达到一个可测量的,客观的标准,帮助支持所有的组织和行业。但在这个过程中,它也改变了什么是高严重脆弱性的定义。这意味着一个在CVSS v2下被评为7.6级的漏洞在CVSS v3.0下可能被评为9.8级,这意味着团队面临着更多的高严重性问题。现在55%以上的具有高严重性或严重性。
该报告的作者得出以下结论:
此列表中最重要的一点是,仅因为流行的开源项目具有漏洞,并不意味着它们本身就没有安全感。
这仅意味着作为开源项目的用户,您需要了解安全风险,并确保保持开源依赖关系的最新状态。
开源组件已成为我们软件项目不可或缺的一部分。乍一看,开源代码漏洞的格局似乎复杂而富有挑战性,但是有一些方法可以使人们对组成我们发布的产品的开放源代码组件具有可见性并加以控制。
您可以在WhiteSource网站上找到更多信息。