Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Het aantal open source-kwetsbaarheden steeg in 2019

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 895

Het aantal onthulde kwetsbaarheden in open source-software bedroeg in 2019 meer dan 6000, tegen iets meer dan 4,000 in 2018, aldus een nieuw WhiteSource-rapport.

“Dit kan worden toegeschreven aan de toegenomen bewustwording open source beveiliging Na de wijdverbreide adoptie van open source-componenten en de enorme groei van de open source-gemeenschap in de afgelopen jaren, samen met de media-aandacht voor recente datalekken”, aldus het bedrijf. bekend.

Ontdekking, openbaarmaking en vermelding

WhiteSource heeft ruim 650 ontwikkelaars ondervraagd en gegevens verzameld uit de National Vulnerability Database (NVD), beveiligingsadviezen, peer-reviewed kwetsbaarheidsdatabases, issue trackers en meer, en heeft ontdekt dat:

  • Meer dan 85% van de kwetsbaarheden in de open source-beveiliging worden onthuld terwijl er al een oplossing beschikbaar is
  • Slechts 84% ​​van de bekende open source-kwetsbaarheden verschijnen uiteindelijk in de NVD, waarvan sommige maanden nadat ze elders zijn openbaar gemaakt
  • C heeft nog steeds het hoogste percentage kwetsbaarheden (30%) vanwege het grote volume aan code dat in deze taal is geschreven. Het wordt gevolgd door PHP (27%) en Java (15%).

open source-kwetsbaarheden 2019

De stijgende populariteit van Python is niet gevolgd door een stijging van het percentage kwetsbaarheden, of dat nu het resultaat is van veilige codering praktijken en niet laks beveiligingsonderzoek voor Python-projecten is onbekend.

De aard van de kwetsbaarheden

De meest voorkomende beveiligingsproblemen (CWE's) in 2019 waren cross-site scriptingfouten (XSS), gevolgd door onjuiste invoervalidatiekwetsbaarheden en bufferfouten:

open source-kwetsbaarheden 2019

De top 2019-lijst van 5 verschilt minimaal van de lijst van het jaar ervoor: in 2018 stonden bufferfouten op de tweede plaats en bugs bij onjuiste invoervalidatie op de derde plaats, terwijl de rest hetzelfde is.

"Wat zorgwekkend is, is dat de meest voorkomende CWE's te wijten zijn aan eenvoudige codefouten en onnauwkeurige codering, die alle ontwikkelaars zouden kunnen vermijden door zich aan vrij eenvoudige coderingsstandaarden te houden", benadrukten de onderzoekers.

“Hoewel ze niet in de top vijf staan, is het interessant dat CWE-352 – Cross-Site Request Forgery (CSRF), is dit jaar in de top 10 van CWE’s verschenen, en dat CWE-89 – SQL Injection, opnieuw naar voren is gekomen nadat het sinds 2015 niet meer tot de beste CWE’s behoorde. Dit kan te wijten zijn aan een toename van het volume aan open source Er zijn webprojecten ontwikkeld, en dit zou erop kunnen wijzen dat de kwetsbaarheden op het web toenemen en iets waar we rekening mee moeten houden bij het coderen.”

Bron: https://www.helpnetsecurity.com/2020/03/13/open-source-vulnerabilities-2019/

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.