RiskSense檢視54項主要的開源專案,從2015年到2020年3月底的公開CVE漏洞代碼,專案含有漏洞數量最多的前二大,是持續整合工具Jenkins(646項漏洞),以及資料庫軟體MySQL(624項漏洞)。(Photo by RiskSense)

開源軟體受到企業喜愛,但可能需要注意漏洞問題。一項針對開源專案的安全研究顯示,一些主要開源專案去年發現了近1,000個漏洞數量,其中又以Jenkins和MySQL漏洞最多。此外,跨網站指令碼(XSS)及輸入資料驗證,是出現最多攻擊程式的漏洞類型。

安全廠商RiskSense檢視了54項主要的開源專案,從2015年到2020年3月底的公開CVE漏洞代碼,同時分析這些漏洞從被公開到被加入美國NVD漏洞資料庫所需時間,以及針對它們的攻擊程式數量。

研究人員發現,2015年到2019年一共發現這54個開源碼2,694個CVE代碼,而且呈現急速增加的趨勢。其中2019年冒出了968個漏洞,比2018年(421個)增加了130%,比2017年(435個)增加127%。但研究人員說,從2020年頭3個月有179個漏洞代碼來看,可以預測2020年恐怕還會再創新高。

而從個別專案的漏洞數量來看,持續整合工具Jenkins以646項漏洞居冠,其次是資料庫軟體MySQL。而「被武裝化」(weaponized)漏洞,意思指存在攻擊程式的漏洞,這兩個專案也不少,各有15個。另一方面,HashiCorp的虛擬部署工具Vagrant雖然只有9個漏洞,卻有6個遭「武裝化」,是比例最高的專案。內容管理平臺Alfresco的9個漏洞中,也有3個被武裝化。

Apache Tomcat、Magento、Kubernetes、Elasticsearch和JBoss的漏洞,也是現實世界攻擊中,駭客最愛的目標。

若看漏洞類型,跨網站指令碼(Cross-Site Scripting,XSS)或輸入資料驗證(Input Validation)漏洞是最常見的兩大類型。其中XSS漏洞被武裝化程度(存在攻擊程式數量)以11個最多。被武裝化的輸入資料驗證漏洞有9個為第2多。存取控管漏洞者以7個居第3。

其他漏洞還包括反列化(Deserialization)、程式碼注入及處理不當(Error Handling)等問題。

最後,研究人員還指出,開源專案從被發現到被加入美國漏洞資料庫(NVD)作業時間冗長。從首次公開揭露到加入NVD,平均需耗時54天。有119個漏洞花了超過1年,24%需要1個月。最誇張的是某個PostgreSQL重大漏洞,在公開後1,817天才加入。研究顯示,作業冗長的問題遍布不同風險層級的漏洞,但重大風險者往往耗時愈久。


Advertisement

更多 iThome相關內容