知識星球
近日,黑鴨軟體釋出了開源安全與風險分析(OSSRA)年度報告,報告對 2018 年以來 1200 多個商業程式碼庫的匿名資料進行了分析和研究。對當今的企業來說,開源軟體、庫和元件往往起著重要的作用。開原始碼採用率高有許多原因,其中包括開源社群的許多程式員願意為專案貢獻時間、專案程式碼的透明性、以及比開發內部系統更少的實現時間等。
在黑鴨審查的所有程式碼庫中,有 96% 包含了開源元件,而大多數沒有開原始碼的程式碼庫其實包含不到 1000 個檔案。在超過 1000 個檔案的程式碼庫中,開原始碼的採用率高達 99%。
開原始碼有著它的安全優勢,但也存在著安全漏洞未修補的隱患,開發人員可能沒意識到專案正在被安全漏洞影響。在報告審查的程式碼庫中,至少包含一個漏洞的程式碼庫佔 60% ,這個數字比 2017 年統計的結果 78% 有所下降。
黑鴨認為,發現的漏洞有 40% 都是關鍵級的。“事實上,開源並不總是更安全。”報告指出,無論專案原始碼是專有的還是開源的,都可能因為漏洞的存在,安全性變得薄弱。專案人員應該及時加以識別和修補這些漏洞。
報告中發現漏洞的平均“年齡”為 6.6 歲。其中,最老的 CVE-2000-0388 是 FreeBSD libmytinfo 庫中的緩衝區上限溢位漏洞,在 28 年前被披露。報告結果顯示,有 43% 的程式碼庫包含一個超過 10 年的 bug。這表明不少企業可能沒意識到開源的用處,也沒有對元件目錄進行系統管理,這些軟體沒有打新的補丁,更容易被攻擊。
“一般只有少數開源漏洞,比如那些影響 ApacheStruts 或 OpenSSL 的漏洞,有可能被廣泛利用。”研究人員表示,專案組織應該把他們的開源漏洞管理和緩解工作的重點放在 cvss 評分和漏洞的可用性上,在關註 “0day” 的同時,也應該關註開源元件的生命週期。
來源:開源中國
更多資訊
駭客屆“奧斯卡”來了!國際安全技術大牛 5 月底齊聚北京
隨著網路安全問題越來越引發全球關註,對駭客、安全漏洞等話題感興趣的極客和技術愛好者們將在北京迎來盛會。有駭客界“奧斯卡”之稱的 DEF CON 近日宣佈,即將舉辦 DEF CON CHINA Baidu 安全行業國際峰會,5月31日至6月2日,數千名全球安全技術大牛將齊聚北京 751D·PARK,同臺切磋技藝。
來源: 北京日報客戶端
詳情: http://t.cn/ESl6YeJ
還在隨便下載軟體?CNCERT 公佈 116 個高危惡意程式
2019 年 2 月期間,國家網際網路應急中心(簡稱“CNCERT”)在全國範圍內繼續開展計算機惡意程式傳播渠道安全監測工作,對已備案的計算機軟體下載站進行安全監測,判定計算機惡意程式 216 個,其中高危惡意程式 116 個,涉及 8 個省份的 11 家軟體下載站及應用商店。2019 年 4 月下旬,CNCERT 將本次監測結果形成報告對外釋出。
來源: FreeBuf.COM
詳情: http://t.cn/ESl6mGB
阿桑奇在英被判 50 周監禁處罰
據英國“天空新聞”剛剛訊息,維基解密創始人阿桑奇在英被判50個星期監禁。“你曾有一個選擇,你選擇的行動就是犯罪,”該法院法官德博拉·泰勒在法庭上說,“你沒有心甘情願地投向……你不會自願到法院來。”隨後,泰勒宣佈阿桑奇被判“50 周監禁”。
來源: 環球科技
詳情: http://t.cn/ESlXhc5
Windows 10 的安全功能使得基於 Chromium 的瀏覽器執行慢了三倍多
正如 Vivaldi 開發人員所揭示的那樣,Windows 10 中內建的安全功能使基於 Chromium 的瀏覽器在測試環境中的速度降低了三倍多。Yngve Pettersen 在部落格文章中解釋說,開發人員在將 Windows 10 測試人員新增到 Windows 單元測試叢集時發現了這個效能問題。
來源: cnBeta.COM
詳情: http://t.cn/ESlXLjD
(資訊來源於網路,安華金和蒐集整理)
朋友會在“發現-看一看”看到你“在看”的內容