该报告并不包括Linux、WordPress、Drupal等超级流行的免费工具项目,因为这些项目经常受到监控,安全bug也会成为新闻,确保这些安全问题大多能相当快地得到修补。
相反,RiskSense观察了其他流行的开源项目,这些项目并不那么知名,但被技术和软件社区广泛采用。其中包括Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。
RiskSense表示,他们在研究过程中发现的一个主要问题是,他们分析的大量安全漏洞在公开披露后许多周后才被报告到国家漏洞数据库(NVD)。该公司表示,这54个项目中发现的bug通常平均需要54天左右时间才会被报告给NVD,其中PostgreSQL的报告延迟时间达到了8个月。由于网络安全和IT软件公司使用NVD数据库来创建和发送安全警报,报告延迟导致使用这些开源项目的公司仍然暴露在攻击面前。
RiskSense表示,自2015年以来,在其分析的所有54个项目中,Jenkins自动化服务器和MySQL数据库服务器的武器化漏洞最多,均为15个。虽然其他开源项目的bug较少,但这些bug有时更容易被武器化,例如Vagrant虚拟化软件和Alfresco内容管理系统当中的bug。
RiskSense认为,现在不仅需要改进开源项目内部处理安全漏洞的方式,而且需要整个行业进行改进,因为 开源项目正在以历史性的速度产生新漏洞。
