Linux中國

每日安全資訊:60% 的企業代碼庫包含開源漏洞

近日, 黑鴨軟體 Black Duck Software 發布了開源安全與風險分析(OSSRA)年度報告,報告對 2018 年以來 1200 多個商業代碼庫的匿名數據進行了分析和研究。對當今的企業來說,開源軟體、庫和組件往往起著重要的作用。開源代碼採用率高有許多原因,其中包括開源社區的許多程序員願意為項目貢獻時間、項目代碼的透明性、以及比開發內部系統更少的實現時間等。

在黑鴨審查的所有代碼庫中,有 96% 包含了開源組件,而大多數沒有開源代碼的代碼庫其實包含不到 1000 個文件。在超過 1000 個文件的代碼庫中,開源代碼的採用率高達 99%。

開源代碼有著它的安全優勢,但也存在著安全漏洞未修補的隱患,開發人員可能沒意識到項目正在被安全漏洞影響。在報告審查的代碼庫中,至少包含一個漏洞的代碼庫占 60% ,這個數字比 2017 年統計的結果 78% 有所下降。

黑鴨認為,發現的漏洞有 40% 都是關鍵級的。「事實上,開源並不總是更安全。」報告指出,無論項目源碼是專有的還是開源的,都可能因為漏洞的存在,安全性變得薄弱。項目人員應該及時加以識別和修補這些漏洞。

報告中發現漏洞的平均「年齡」為 6.6 歲。其中,最老的 CVE-2000-0388 是 FreeBSD libmytinfo 庫中的緩衝區溢出漏洞,在 28 年前被披露。報告結果顯示,有 43% 的代碼庫包含一個超過 10 年的 bug。這表明不少企業可能沒意識到開源的用處,也沒有對組件目錄進行系統管理,這些軟體沒有打新的補丁,更容易被攻擊。

「一般只有少數開源漏洞,比如那些影響 ApacheStruts 或 OpenSSL 的漏洞,有可能被廣泛利用。」研究人員表示,項目組織應該把他們的開源漏洞管理和緩解工作的重點放在 cvss 評分和漏洞的可用性上,在關注 「0day」 的同時,也應該關注開源組件的生命周期。

來源:開源中國

更多資訊

黑客屆「奧斯卡」來了!國際安全技術大牛 5 月底齊聚北京

隨著網路安全問題越來越引發全球關注,對黑客、安全漏洞等話題感興趣的極客和技術愛好者們將在北京迎來盛會。有黑客界「奧斯卡」之稱的 DEF CON 近日宣布,即將舉辦 DEF CON CHINA Baidu 安全行業國際峰會,5月31日至6月2日,數千名全球安全技術大牛將齊聚北京 751D·PARK,同台切磋技藝。

來源: 北京日報客戶端
詳情: http://t.cn/ESl6YeJ

還在隨便下載軟體?CNCERT 公布 116 個高危惡意程序

2019 年 2 月期間,國家互聯網應急中心(簡稱「CNCERT」)在全國範圍內繼續開展計算機惡意程序傳播渠道安全監測工作,對已備案的計算機軟體下載站進行安全監測,判定計算機惡意程序 216 個,其中高危惡意程序 116 個,涉及 8 個省份的 11 家軟體下載站及應用商店。2019 年 4 月下旬,CNCERT 將本次監測結果形成報告對外發布。

來源: FreeBuf.COM

詳情: http://t.cn/ESl6mGB

阿桑奇在英被判 50 周監禁處罰

據英國「天空新聞」剛剛消息,維基解密創始人阿桑奇在英被判50個星期監禁。「你曾有一個選擇,你選擇的行動就是犯罪,」該法院法官德博拉·泰勒在法庭上說,「你沒有心甘情願地投向......你不會自願到法院來。」隨後,泰勒宣布阿桑奇被判「50 周監禁」。

來源: 環球科技

詳情: http://t.cn/ESlXhc5

Windows 10 的安全功能使得基於 Chromium 的瀏覽器運行慢了三倍多

正如 Vivaldi 開發人員所揭示的那樣,Windows 10 中內置的安全功能使基於 Chromium 的瀏覽器在測試環境中的速度降低了三倍多。Yngve Pettersen 在博客文章中解釋說,開發人員在將 Windows 10 測試人員添加到 Windows 單元測試集群時發現了這個性能問題。

來源: cnBeta.COM

詳情: http://t.cn/ESlXLjD

(信息來源於網路,安華金和搜集整理)


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國