bug越找越多，19年開源項目中bug數量激增近50％

大數據文摘出品

來源：theregister

編譯：lin

根據安全業務機構WhiteSource的數據，2019年開源項目中的漏洞bug報告數量激增了近50%，某種意義上講這是件好事，因為你是無法發現那些你不去找的bug的。

在其年度漏洞bug報告中，該公司將bug數量的增長歸因於對開源安全性意識的提高。這是由於近年來開放源代碼組件的廣泛採用以及社區整體發展的結果，更不用說媒體對數據公開的關注了。

換句話說，bug一直在那，但是因為我們更加關注所以他們變得更加易見。

去年有超過6000個開源bug被報告，從僅僅有約4000個漲上來。

在一封給用戶的電子郵件中，WhiteSource的CEO見聯合創始人Rami Sass說：“沒有完美的代碼，總有些bug會被發現。”

“開源漏洞bug的問題是，像開源社區中的所有事物一樣，一旦報告了，那所有信息都是公開的，並且每個初學者都可以了解該bug並加以利用，然後在大量應用程序上執行該bug。”

從好的方面來說，其中85％的漏洞bug在披露時已得到修複，這樣bug也算沒白找。

但是，社區對漏洞bug的意識並沒有轉化為關於bug的有效溝通。最終，只有84％的已知開源漏洞bug最終出現在國家bug數據庫（NVD）上，並且經常都有延遲。

根據WhiteSource的數據，當漏洞bug在NVD之外報告時，最終只有29％的bug在該處發布。這意味著可能不容易找到bug信息，並且很可能不會得到及時修複。

儘管如此，WhiteSource還是公開表揚了像GitHub的安全實驗室那樣的以社區為中心的舉措，可以幫助安全研究人員，項目維護人員和軟體用戶更容易地報告問題以及匯集信息。

該調查還研究了不同編程語言的開源項目漏洞bug的數量以及這些數量隨著時間的變化。

WhiteSource表示C仍然是bug率最高的編程語言，因為就代碼行數而言C是最受歡迎的語言，但是隨著其他語言的流行，C的數量呈下降趨勢。

該報告指出，儘管，“PHP的相對漏洞bug數量已經顯著增加，但還沒有跡象表明流行程度方面同樣有所上升。”

同時，Python試圖達到高流行度但低bug率。報告說：“希望這是安全編碼實踐的結果，而不是對Python項目的安全性研究不嚴格的結果。”

2019年最最常見的弱點枚舉（CWEs）如下：

通過對編程語言進行分析，在除C外的所有語言中均排名前三位的如下：

WhiteSource將這些缺陷在各種語言中的共性歸因於使用自動掃描工具，這些工具知道如何查找這些特定問題。該公司還指出，信息公開只是跨語言的普遍問題。

Sass說：“ CWE-79（跨站點腳本）是攻擊者最容易利用的漏洞bug之一，因為有許多的自動化工具，導致即使是“新手”黑客也可以利用它。” Sass指出CWE代表一個分類而不是一個特定的漏洞。

“隨著開源社區使用量的巨大增長，攻擊者開始發現利用開源漏洞bug的潛力。CWE-79漏洞是輕鬆輕鬆地進行黑客攻擊的首選漏洞bug。考慮到這一點，它的大規模增長就很合邏輯了。”

隨著漏洞報告數量的增加，開發團隊受益於可以優先解決關鍵漏洞bug，然後再查看不太嚴重的漏洞。由於通用漏洞評分系統（CVSS）評估漏洞嚴重性的方式發生了變化，這已變得愈發複雜。

CVSSv2於2007年6月首次亮相，CVSSv3是2015年6月，CVSSv3.1於2019年6月發布。每個都對構成高危漏洞的定義稍有不同。

根據WhiteSource的說法，最大的變化來自從v2到v3的遷移，v2下的一個7.6的嚴重bug（以10為基數）在v3下重新定義為9.8。

WhiteSource認為，在v3.1下，嚴重性分布不是正態分布，其中17％的漏洞bug為嚴重bug，只有2％的漏洞bug為低級。

這意味著超過一半的額定bug是關鍵bug或高危bug，這使得當所有問題都應立即修複時，很難確定優先級。

Sass說：“隨著報告的漏洞數量增加，修補這些漏洞的緊迫性也隨之增加。” “儘管如此，開發團隊依然正在努力跟上步伐。”

相關報導：

https://www.theregister.co.uk/2020/03/13/open_source_bugs/

志願者介紹

點「在看」的人都變好看了哦！