[[320158]]

大數(shù)據(jù)文摘出品

來源：theregister

編譯：lin

根據(jù)安全業(yè)務(wù)機(jī)構(gòu)WhiteSource的數(shù)據(jù)，2019年開源項(xiàng)目中的漏洞bug報(bào)告數(shù)量激增了近50%，某種意義上講這是件好事，因?yàn)槟闶菬o法發(fā)現(xiàn)那些你不去找的bug的。

在其年度漏洞bug報(bào)告中，該公司將bug數(shù)量的增長(zhǎng)歸因于對(duì)開源安全性意識(shí)的提高。這是由于近年來開放源代碼組件的廣泛采用以及社區(qū)整體發(fā)展的結(jié)果，更不用說媒體對(duì)數(shù)據(jù)公開的關(guān)注了。

換句話說，bug一直在那，但是因?yàn)槲覀兏雨P(guān)注所以他們變得更加易見。

去年有超過6000個(gè)開源bug被報(bào)告，從僅僅有約4000個(gè)漲上來。

在一封給用戶的電子郵件中，WhiteSource的CEO見聯(lián)合創(chuàng)始人Rami Sass說：“沒有完美的代碼，總有些bug會(huì)被發(fā)現(xiàn)。”

“開源漏洞bug的問題是，像開源社區(qū)中的所有事物一樣，一旦報(bào)告了，那所有信息都是公開的，并且每個(gè)初學(xué)者都可以了解該bug并加以利用，然后在大量應(yīng)用程序上執(zhí)行該bug。”

從好的方面來說，其中85%的漏洞bug在披露時(shí)已得到修復(fù)，這樣bug也算沒白找。

但是，社區(qū)對(duì)漏洞bug的意識(shí)并沒有轉(zhuǎn)化為關(guān)于bug的有效溝通。最終，只有84%的已知開源漏洞bug最終出現(xiàn)在國(guó)家bug數(shù)據(jù)庫(kù)(NVD)上，并且經(jīng)常都有延遲。

根據(jù)WhiteSource的數(shù)據(jù)，當(dāng)漏洞bug在NVD之外報(bào)告時(shí)，最終只有29%的bug在該處發(fā)布。這意味著可能不容易找到bug信息，并且很可能不會(huì)得到及時(shí)修復(fù)。

盡管如此，WhiteSource還是公開表?yè)P(yáng)了像GitHub的安全實(shí)驗(yàn)室那樣的以社區(qū)為中心的舉措，可以幫助安全研究人員，項(xiàng)目維護(hù)人員和軟件用戶更容易地報(bào)告問題以及匯集信息。

該調(diào)查還研究了不同編程語(yǔ)言的開源項(xiàng)目漏洞bug的數(shù)量以及這些數(shù)量隨著時(shí)間的變化。

WhiteSource表示C仍然是bug率最高的編程語(yǔ)言，因?yàn)榫痛a行數(shù)而言C是最受歡迎的語(yǔ)言，但是隨著其他語(yǔ)言的流行，C的數(shù)量呈下降趨勢(shì)。

該報(bào)告指出，盡管，“PHP的相對(duì)漏洞bug數(shù)量已經(jīng)顯著增加，但還沒有跡象表明流行程度方面同樣有所上升。”

同時(shí)，Python試圖達(dá)到高流行度但低bug率。報(bào)告說：“希望這是安全編碼實(shí)踐的結(jié)果，而不是對(duì)Python項(xiàng)目的安全性研究不嚴(yán)格的結(jié)果。”

2019年最最常見的弱點(diǎn)枚舉(CWEs)如下：

通過對(duì)編程語(yǔ)言進(jìn)行分析，在除C外的所有語(yǔ)言中均排名前三位的如下：

WhiteSource將這些缺陷在各種語(yǔ)言中的共性歸因于使用自動(dòng)掃描工具，這些工具知道如何查找這些特定問題。該公司還指出，信息公開只是跨語(yǔ)言的普遍問題。

Sass說：“ CWE-79(跨站點(diǎn)腳本)是攻擊者最容易利用的漏洞bug之一，因?yàn)橛性S多的自動(dòng)化工具，導(dǎo)致即使是“新手”黑客也可以利用它。” Sass指出CWE代表一個(gè)分類而不是一個(gè)特定的漏洞。

“隨著開源社區(qū)使用量的巨大增長(zhǎng)，攻擊者開始發(fā)現(xiàn)利用開源漏洞bug的潛力。CWE-79漏洞是輕松輕松地進(jìn)行黑客攻擊的首選漏洞bug。考慮到這一點(diǎn)，它的大規(guī)模增長(zhǎng)就很合邏輯了。”

隨著漏洞報(bào)告數(shù)量的增加，開發(fā)團(tuán)隊(duì)受益于可以優(yōu)先解決關(guān)鍵漏洞bug，然后再查看不太嚴(yán)重的漏洞。由于通用漏洞評(píng)分系統(tǒng)(CVSS)評(píng)估漏洞嚴(yán)重性的方式發(fā)生了變化，這已變得愈發(fā)復(fù)雜。

CVSSv2于2007年6月首次亮相，CVSSv3是2015年6月，CVSSv3.1于2019年6月發(fā)布。每個(gè)都對(duì)構(gòu)成高危漏洞的定義稍有不同。

根據(jù)WhiteSource的說法，最大的變化來自從v2到v3的遷移，v2下的一個(gè)7.6的嚴(yán)重bug(以10為基數(shù))在v3下重新定義為9.8。

WhiteSource認(rèn)為，在v3.1下，嚴(yán)重性分布不是正態(tài)分布，其中17%的漏洞bug為嚴(yán)重bug，只有2%的漏洞bug為低級(jí)。

這意味著超過一半的額定bug是關(guān)鍵bug或高危bug，這使得當(dāng)所有問題都應(yīng)立即修復(fù)時(shí)，很難確定優(yōu)先級(jí)。

Sass說：“隨著報(bào)告的漏洞數(shù)量增加，修補(bǔ)這些漏洞的緊迫性也隨之增加。” “盡管如此，開發(fā)團(tuán)隊(duì)依然正在努力跟上步伐。”

相關(guān)報(bào)道：https://www.theregister.co.uk/2020/03/13/open_source_bugs/

【本文是51CTO專欄機(jī)構(gòu)大數(shù)據(jù)文摘的原創(chuàng)譯文，微信公眾號(hào)“大數(shù)據(jù)文摘（ id: BigDataDigest）”】

戳這里，看該作者更多好文