日前,Apache软件基金会(ASF)发布了2020年安全报告。Apache软件基金会的安全委员会由志愿者于2002年创立,负责监督和协调所有340多个Apache项目中的漏洞处理。报告称,Apache项目在2020年出现了显着增加的安全问题。根据其报告,2020年Apache软件基金会从收到的18,000封电子邮件中对370多份与ASF项目相关的漏洞报告进行了分类,从而解决了151个CVE问题.与2019年相比,处理的非垃圾邮件数量增加了53%,安全漏洞数量增加了13%,CVE数量增加了24%。下图是2019年的报表数据。在这些问题中,值得注意的包括:2月的CVE-2020-1938,又名“Ghostcat”;May的CVE-2017-5638,ApacheStruts2中的远程命令执行漏洞;7月的CVE-2020-9497和CVE-2020-9498,用户连接到恶意或受损的RDP服务器可能导致内存泄漏或远程代码执行;8月的CVE-2019-0230,该漏洞允许攻击者注入OGNL(Object-GraphNavigationLanguage)表达式执行任意代码;CVE-2019-0235,ApacheOFBiz的CSRF问题;CVE-2020-13951,ApacheOpenMeetings的DoS问题;CVE-2020-17518和CVE-2020-17519,ApacheFlink的任意读/写问题。然而,正如报告末尾所说,Apache项目仍然值得信赖。“ApacheSoftwareFoundation项目高度多样化且独立。他们有不同的语言、社区、管理和安全模型。然而,每个项目都有一个共同点,那就是处理报告的安全问题的流程是一致的。CommitSee与项目团队、社区和记者密切合作,以确保问题得到快速和正确的处理。这种负责任的洞察力是TheApacheWay的一个原则,有助于确保Apache软件稳定且可信任”。本文转自OSCHINA文章标题:Apache软件基金会2020年安全报告发布,安全问题显着增加
