2019年热门开源项目的安全漏洞增加一倍

近日，安全公司RiskSense发布了一份名为“The Dark Reality of Open Source"的报告。通过分析54个热门开源项目，这家公司发现这些开源项目中的安全漏洞数量在2019年增加一倍，从2018年的421个漏洞增加至2019年的968个。

据悉，该报告并不包括Linux、WordPress、Drupal等超级流行的免费工具项目，而是观察了其他流行的开源项目，它们虽然不是很出名，但却被技术和软件社区广泛采用，其中包括Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。

报告表明，2019年公开披露的开源软件漏洞数为968，相比2018年的421个漏洞，安全漏洞数量增长130%。统计显示，从2015年到2020年（3月）流行的开源项目累计有2694个漏洞。

RiskSense表示，它们从报告中发现的另一大问题是大量的安全漏洞在公开披露数周后才报告给NVD（美国国家漏洞数据库）。据了解，漏洞从首次公开披露到报告给NVD，这个时间平均要花54天，而PostgreSQL和MongoDB则需要花费8个月的时间。

更令人震惊的是，有一个严重的PostgreSQL漏洞从首次公开披露到报告给NVD，花了1817天。

考虑到业界很多网络安全和IT软件公司都利用NVD数据库来建立和发送安全警报，一旦漏洞报告延迟，这将导致使用这些开源项目的企业暴露在攻击面前。并且，这还给威胁行为者创造了机会，让它们可以创建和部署漏洞利用程序——导致安全漏洞的“武器化”。

根据统计，在54个开源项目中，Jenkins和MySQL的安全漏洞数量最多，其中，Jenkins有646个安全漏洞，MySQL紧随其后，有624个安全漏洞。同时，它们的武器化漏洞也是遥遥领先，分别是15个。虽然其他开源项目的漏洞较少，但这些漏洞更容易被武器化，比如Vagrant虚拟化软件和Alfresco内容管理系统当中的安全漏洞。

此外，Apache Tomcat、Magento、Kubernetes、Elasticsearch和JBoss均含有一些很流行的安全漏洞。

RiskSense总结道，开源项目在当今软件世界举足轻重，因此需要进一步改进开源项目乃至整个行业处理安全漏洞的方式。