每日安全資訊：60% 的企業代碼庫包含開源漏洞

近日， 黑鴨軟體 （ Black Duck Software ） 發布了開源安全與風險分析（OSSRA）年度報告，報告對 2018 年以來 1200 多個商業代碼庫的匿名數據進行了分析和研究。對當今的企業來說，開源軟體、庫和組件往往起著重要的作用。開源代碼採用率高有許多原因，其中包括開源社區的許多程序員願意為項目貢獻時間、項目代碼的透明性、以及比開發內部系統更少的實現時間等。

在黑鴨審查的所有代碼庫中，有 96% 包含了開源組件，而大多數沒有開源代碼的代碼庫其實包含不到 1000 個文件。在超過 1000 個文件的代碼庫中，開源代碼的採用率高達 99%。

開源代碼有著它的安全優勢，但也存在著安全漏洞未修補的隱患，開發人員可能沒意識到項目正在被安全漏洞影響。在報告審查的代碼庫中，至少包含一個漏洞的代碼庫占 60% ，這個數字比 2017 年統計的結果 78% 有所下降。

黑鴨認為，發現的漏洞有 40% 都是關鍵級的。「事實上，開源並不總是更安全。」報告指出，無論項目源碼是專有的還是開源的，都可能因為漏洞的存在，安全性變得薄弱。項目人員應該及時加以識別和修補這些漏洞。

報告中發現漏洞的平均「年齡」為 6.6 歲。其中，最老的 CVE-2000-0388 是 FreeBSD libmytinfo 庫中的緩衝區溢出漏洞，在 28 年前被披露。報告結果顯示，有 43% 的代碼庫包含一個超過 10 年的 bug。這表明不少企業可能沒意識到開源的用處，也沒有對組件目錄進行系統管理，這些軟體沒有打新的補丁，更容易被攻擊。

「一般只有少數開源漏洞，比如那些影響 ApacheStruts 或 OpenSSL 的漏洞，有可能被廣泛利用。」研究人員表示，項目組織應該把他們的開源漏洞管理和緩解工作的重點放在 cvss 評分和漏洞的可用性上，在關注 「0day」 的同時，也應該關注開源組件的生命周期。

來源：開源中國

更多資訊

黑客屆「奧斯卡」來了！國際安全技術大牛 5 月底齊聚北京

隨著網路安全問題越來越引發全球關注，對黑客、安全漏洞等話題感興趣的極客和技術愛好者們將在北京迎來盛會。有黑客界「奧斯卡」之稱的 DEF CON 近日宣布，即將舉辦 DEF CON CHINA Baidu 安全行業國際峰會，5月31日至6月2日，數千名全球安全技術大牛將齊聚北京 751D·PARK，同台切磋技藝。

來源： 北京日報客戶端
詳情： http://t.cn/ESl6YeJ

還在隨便下載軟體？CNCERT 公布 116 個高危惡意程序

2019 年 2 月期間，國家互聯網應急中心（簡稱「CNCERT」）在全國範圍內繼續開展計算機惡意程序傳播渠道安全監測工作，對已備案的計算機軟體下載站進行安全監測，判定計算機惡意程序 216 個，其中高危惡意程序 116 個，涉及 8 個省份的 11 家軟體下載站及應用商店。2019 年 4 月下旬，CNCERT 將本次監測結果形成報告對外發布。

來源： FreeBuf.COM

詳情： http://t.cn/ESl6mGB

阿桑奇在英被判 50 周監禁處罰

據英國「天空新聞」剛剛消息，維基解密創始人阿桑奇在英被判50個星期監禁。「你曾有一個選擇，你選擇的行動就是犯罪，」該法院法官德博拉·泰勒在法庭上說，「你沒有心甘情願地投向......你不會自願到法院來。」隨後，泰勒宣布阿桑奇被判「50 周監禁」。

來源： 環球科技

詳情： http://t.cn/ESlXhc5

Windows 10 的安全功能使得基於 Chromium 的瀏覽器運行慢了三倍多

正如 Vivaldi 開發人員所揭示的那樣，Windows 10 中內置的安全功能使基於 Chromium 的瀏覽器在測試環境中的速度降低了三倍多。Yngve Pettersen 在博客文章中解釋說，開發人員在將 Windows 10 測試人員添加到 Windows 單元測試集群時發現了這個性能問題。

來源： cnBeta.COM

詳情： http://t.cn/ESlXLjD

（信息來源於網路，安華金和搜集整理）

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive