WhiteSource最新漏洞报告称,2019年披露的开源软件漏洞数量达到6000多个,相比2018年的4000多个,数量增长了50%!“这可以归因于过去几年开源组件的广泛采用和开源社区的大规模增长,以及媒体对最近数据泄露事件的关注和企业对开源安全意识的提高,”报告状态。C仍然是“漏洞之王”WhiteSource调查了650多名开发人员,从国家漏洞数据库(NVD)、安全公告、同行评审的漏洞数据库、问题跟踪器等收集数据,发现:已披露超过85%的开源安全漏洞有可用的修复程序;只有84%的已知开源漏洞被NVD编入索引,其中一些漏洞直到发现数月后才被收录;由于代码量巨大,C的漏洞百分比仍然最高(30%),其次是PHP(27%)和Java(15%)。Python的流行并没有导致其漏洞百分比的增加。目前尚不清楚这是安全编码实践的结果,还是行业对Python项目安全性研究松懈的结果。2019年最常见的安全漏洞(CWE)是跨站脚本漏洞(XSS),其次是输入验证错误漏洞和缓冲区错误:2019年TOP5漏洞与2018年相比没有太大变化。2018年,缓冲区错误位居第二,输入验证漏洞位居第三,其余持平。研究人员指出,令人担忧的是,更常见的CWE是简单编码错误和不准确编码的结果,所有开发人员都可以通过遵守基本编码标准来避免这种情况。虽然没有进入前五,但有趣的是,CWE-352-Cross-SiteRequestForgery(CSRF)在今年的CWE前十名中崭露头角,而CWE-89-SQLInjection在2015年之后一度沉寂,却一炮打响再次列出。这可能是由于开源Web项目数量的增加导致Web漏洞激增,Web开发人员在编码时应该再次强调这个问题。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
