开源软件的采用率不断提高,并且更加致力于发现危险的错误,这意味着已报告的开源漏洞数量已从去年的4,100个增加到6,100个。
该事件使技术行业对资金匮乏的开源项目采取了行动,这些项目对互联网至关重要,但缺乏查找和修补错误的资源。
该事件催生了Linux基金会的核心基础设施计划(CII),该计划得到了亚马逊,谷歌,IBM,英特尔,微软,思科等的支持。
根据WhiteSource的数据,在2015年和2016年,安全漏洞的每年数量不超过1,500个,但在2017年和2018年,每年的安全漏洞数量已超过4,000个。
大量新发现的错误来自Google的开源模糊测试工具,例如OSS-Fuzz,到2018年,该工具已在两年内帮助发现了9,000个漏洞。截至2020年1月,它已帮助250个开源项目中发现了16,000个错误。
WhiteSource发现,已披露85%的开源漏洞,并且已提供修复程序。但是,它指出某些用户不知道这些修复程序,因为只有84%的已知开放源代码漏洞都将其发布到了国家漏洞数据库(NVD)中。
它指出:“有关漏洞的信息不是在一个集中的位置发布,而是分散在数百个资源中,有时索引编制不正确,这常常使搜索特定数据成为一个挑战。”
WhiteSource去年将其漏洞数据库引入了GitHub,以支持其安全警报服务。GitHub扫描项目依赖关系,以查找用PHP,Java,Python,.NET,JavaScript和Ruby编写的项目中的漏洞 。它帮助开发人员发现并修复了数百万个依赖项中的已知缺陷。
去年,可以发布自己的CVE的Microsoft代码共享站点还启动了一个名为Security Lab的程序,以帮助开发人员查找和修复错误。
尽管赞扬GitHub的努力,WhiteSource指出开发人员可能会被发现的大量bug淹没。
WhiteSource指出:“我们担心的是,尽管这些工具将有助于以适当的方式报告漏洞问题,但它们可能只会加剧软件开发人员的问题,而这些软件开发人员已经在努力跟上不断增加的速度。”
WhiteSource还研究了在顶级编程语言中发现的漏洞的比例。易受攻击的代码使用C语言编写的比例最高,为30%,低于十年前的47%。该公司指出,C的百分比很高可能是因为其中编写了太多代码。
另一方面,用PHP编写的代码占27%的安全漏洞,而十年前这一比例为15%,尽管PHP在开发人员中不那么受欢迎。
相比之下,Python代码仅导致5%的错误,而十年前为6%。
2019年最常见的安全漏洞类型是跨站点脚本,不正确的输入验证,缓冲区错误,越界读取和信息泄露。
跨站点脚本错误是Java,JavaScript,PHP,Python和Ruby的最常见漏洞类型。对于C,一种内存不安全的语言,它是“对内存缓冲区范围内操作的不当限制”。
