MySQL、Jenkins是漏洞最多的兩個開源碼專案

開源軟體受到企業喜愛，但可能需要注意漏洞問題。一項針對開源專案的安全研究顯示，一些主要開源專案去年發現了近1,000個漏洞數量，其中又以Jenkins和MySQL漏洞最多。此外，跨網站指令碼（XSS）及輸入資料驗證，是出現最多攻擊程式的漏洞類型。

安全廠商RiskSense檢視了54項主要的開源專案，從2015年到2020年3月底的公開CVE漏洞代碼，同時分析這些漏洞從被公開到被加入美國NVD漏洞資料庫所需時間，以及針對它們的攻擊程式數量。

研究人員發現，2015年到2019年一共發現這54個開源碼2,694個CVE代碼，而且呈現急速增加的趨勢。其中2019年冒出了968個漏洞，比2018年（421個）增加了130%，比2017年（435個）增加127%。但研究人員說，從2020年頭3個月有179個漏洞代碼來看，可以預測2020年恐怕還會再創新高。

而從個別專案的漏洞數量來看，持續整合工具Jenkins以646項漏洞居冠，其次是資料庫軟體MySQL。而「被武裝化」（weaponized）漏洞，意思指存在攻擊程式的漏洞，這兩個專案也不少，各有15個。另一方面，HashiCorp的虛擬部署工具Vagrant雖然只有9個漏洞，卻有6個遭「武裝化」，是比例最高的專案。內容管理平臺Alfresco的9個漏洞中，也有3個被武裝化。

Apache Tomcat、Magento、Kubernetes、Elasticsearch和JBoss的漏洞，也是現實世界攻擊中，駭客最愛的目標。

若看漏洞類型，跨網站指令碼（Cross-Site Scripting，XSS）或輸入資料驗證（Input Validation）漏洞是最常見的兩大類型。其中XSS漏洞被武裝化程度（存在攻擊程式數量）以11個最多。被武裝化的輸入資料驗證漏洞有9個為第2多。存取控管漏洞者以7個居第3。

其他漏洞還包括反列化（Deserialization）、程式碼注入及處理不當（Error Handling）等問題。

最後，研究人員還指出，開源專案從被發現到被加入美國漏洞資料庫（NVD）作業時間冗長。從首次公開揭露到加入NVD，平均需耗時54天。有119個漏洞花了超過1年，24%需要1個月。最誇張的是某個PostgreSQL重大漏洞，在公開後1,817天才加入。研究顯示，作業冗長的問題遍布不同風險層級的漏洞，但重大風險者往往耗時愈久。