发现的bug越多,开源项目的bug数量在2019年激增了近50%近50%,这在某种意义上是一件好事,因为你找不到你找不到的bug。在其年度漏洞错误报告中,该公司将错误数量的增加归因于对开源安全意识的提高。这是近年来开源组件的广泛采用和社区整体增长的结果,更不用说媒体对数据披露的关注了。换句话说,错误一直都存在,只是因为我们更加注意,它们变得更加明显。去年报告了6,000多个开源漏洞,而此前只有大约4,000个。在给用户的一封电子邮件中,WhiteSource首席执行官兼联合创始人RamiSass表示:“没有完美的代码,总会发现一些错误。”“开源错误的问题在于,就像开源社区中的所有事情一样,一旦报告,所有信息都是公开的,每个初学者都可以了解错误,利用它,并在大量应用程序上执行它。”好的一面是,其中85%的漏洞bug在披露时已经被修复,所以bug并没有白费。但是,社区对bug的意识并没有转化为对bug的有效沟通。最终,只有84%的已知开放源漏洞错误最终会出现在国家错误数据库(NVD)中,通常会有延迟。根据WhiteSource的说法,当在NVD之外报告漏洞错误时,只有29%的错误最终会在那里发布。这意味着错误信息可能不会被公开很容易找到,而且可能不会及时修复。不过,WhiteSource公开赞扬了GitHub安全实验室等以社区为中心的举措,这些举措帮助安全研究人员、项目维护人员和软件用户更轻松地报告问题和汇集信息.该调查还查看了不同编程语言的开源项目错误数量以及这些数字如何随时间变化。WhiteSource表示C仍然是编程语言错误率最高,因为它是代码行数最多的语言,但随着其他语言的流行,C的数量正在下降。该报告指出,尽管“PHP的易受攻击错误的相对数量显着增加,但没有迹象表明流行程度有类似的增加。”与此同时,Python正在努力实现高流行度和低错误率。“希望这是安全编码实践的结果,而不是对Python项目的松懈安全研究,”报告说。2019年最常见的漏洞列举(CWE)如下:除C语言外所有语言的前三名如下:WhiteSource将这些跨语言缺陷的共性归因于使用知道如何寻找这些具体问题。该公司还指出,披露只是跨语言的常见问题。“CWE-79(跨站点脚本)是攻击者最容易利用的错误之一,因为有太多的自动化工具,即使是‘新手’黑客也可以利用它,”Sass说,并指出CWE代表一个类别而不是特定的漏洞。“随着开源社区使用量的巨大增长,攻击者开始看到利用开源漏洞的潜力。CWE-79漏洞是轻松无忧的黑客攻击的首选漏洞。考虑到这一点,它的巨大增长是有道理的。”逻辑。”随着错误报告数量的增加,开发团队受益于能够在查看不太严重的错误之前确定关键漏洞错误的优先级。通用漏洞评分系统(CVSS)评估漏洞严重性的方式发生了变化,这使情况变得更加复杂。CVSSv2CVSSv3于2007年6月首次亮相,CVSSv3于2015年6月首次亮相,CVSSv3.1于2019年6月首次亮相。每个人对高危漏洞的定义略有不同。根据WhiteSource的说法,最大的变化来自从v2到v3的迁移,其中v2下的一个7.6的criticalbug(base10)在v3下被重新定义为9.8。WhiteSource认为在v3.1下,严重性分布不是正态分布,17%的漏洞bug是criticalbug,只有2%的漏洞bug是criticalbug漏洞错误是低级别的。这意味着超过一半的评级错误是严重或高严重性错误,因此很难确定何时应立即修复所有问题的优先级。“作为数量报告的漏洞增加了,修补它们的紧迫性也增加了,”Sass说。“尽管如此,开发团队仍在努力跟上。》相关报道:https://www.theregister.co.uk/2020/03/13/open_source_bugs/【本文为栏目组织大数据文摘原文翻译,微信公众号《大数据文摘》(id:BigDataDigest)》】点此查看作者更多好文
