2019年開放源代碼漏洞激增50%
責編:gltian |2020-03-20 13:15:25WhiteSource最新發布的漏洞報告稱,2019年公開的開源軟件漏洞數量達到了6,000多個,而2018年僅為4,000多個,數量激增50%!
“這可以歸因于開源組件的廣泛采用以及過去幾年開源社區的大規模增長,以及媒體對最近數據泄露的關注和企業對開源安全的意識增強。”報告指出。
C語言依然是“漏洞之王”
WhiteSource對650多位開發人員進行了調查,從國家漏洞數據庫(NVD)、安全公告、經過同行評審的漏洞數據庫、問題跟蹤器等收集了數據,發現:
- 已披露的超過85%的開源安全漏洞已經有可用修復程序;
- 只有84%的已知開源漏洞被NVD收錄,其中一些漏洞在被發現后數月才收錄;
- 由于代碼量巨大,C仍然具有最高的漏洞百分比(30%),其次是PHP(27%)和Java(15%)。
Python的流行并未導致其漏洞百分率的上升,這到底是因為安全編碼實踐的結果,還是業界對Python項目的安全性研究工作松懈所致不得而知。
SQL注入殺回前十
2019年最常見的安全漏洞(CWE)是跨站點腳本漏洞(XSS),其次是不正確的輸入驗證漏洞和緩沖區錯誤:
2019年的TOP5漏洞與2018年相比變化不大。2018年,緩沖區錯誤排在第二位,輸入驗證漏洞排在第三位,其余部分相同。
研究人員指出:
令人擔憂的是,最常見的CWE是簡單的代碼錯誤和不準確的編碼導致,所有開發人員都可以通過遵守基本的編碼標準來避免這種情況。
雖然不在前五名之列,但有趣的是,CWE-352——跨站點請求偽造(CSRF)在今年的前十名CWE中嶄露頭角,而2015年之后一度沉寂的CWE-89——SQL注入,再次打榜。這可能是由于開源Web項目的數量增加導致Web漏洞激增,Web開發人員在編碼時應當重新重視這個問題。