MySQLJenkins是漏洞最多的两个开源项目

Posted 2021-04-07 LUPA开源社区

开源软件受到企业喜爱，但可能需要注意漏洞问题。一项针对开源项目的安全研究显示，一些主要开源项目去年发现了近1,000个漏洞数量，其中又以Jenkins和mysql漏洞最多。此外，跨网站脚本（XSS）及输入资料验证，是出现最多攻击程序的漏洞类型。

安全厂商RiskSense查看了54项主要的开源项目，从2015年到2020年3月底的公开CVE漏洞代码，同时分析这些漏洞从被公开到被分派CVE代码所需时间，以及针对它们的攻击程序数量。

研究人员发现，2015年到2019年一共发现这54个开源2,694个CVE代码，而且呈现急速增加的趋势。其中2019年冒出了968个漏洞，比2018年（421个）增加了130%，比2017年（435个）增加127%。但研究人员说，从2020年头3个月有179个漏洞代码来看，可以预测2020年恐怕还会再创新高。

而从个别项目的漏洞数量来看，持续集成工具Jenkins以646项漏洞居冠，其次是数据库软件MySQL。而“被武装化”（weaponized）漏洞，意思指存在攻击程序的漏洞，这两个项目也不少，各有15个。另一方面，HashiCorp的虚拟部署工具Vagrant虽然只有9个漏洞，却有6个遭“武装化”，是比例最高的项目。内容管理平台Alfresco的9个漏洞中，也有3个被武装化。

ApacheTomcat、Magento、Kubernetes、Elasticsearch和JBoss的漏洞，也是现实世界攻击中，黑客最爱的目标。

若看漏洞类型，跨网站脚本（Cross-SiteScripting，XSS）或输入资料验证（InputValidation）漏洞是最常见的两大类型。其中XSS漏洞被武装化程度（存在攻击程序数量）以11个最多。被武装化的输入资料验证漏洞有9个为第2多。访问管控漏洞者以7个居第3。

其他漏洞还包括反列化（Deserialization）、程序代码注入及处理不当（ErrorHandling）等问题。

最后，研究人员还指出，开源项目从被发现到被加入美国漏洞数据库（NVD）作业时间冗长。从首次公开披露到加入NVD，平均需耗时54天。有119个漏洞花了超过1年，24%需要1个月。最夸张的是某个PostgreSQL重大漏洞，在公开后1,817天才加入。研究显示，作业冗长的问题遍布不同风险层级的漏洞，但重大风险者往往耗时愈久。