`
Qschecker
  • 浏览: 8248 次
  • 性别: Icon_minigender_2
  • 来自: 香港
文章分类
社区版块
存档分类
最新评论

某安全浏览器竟然也被查出高危漏洞?开源安全问题不容忽视

阅读更多
分析报告http://hn.cvecn.com/detail.php?md5=429824f12a56b25c2286404a7eef5a14

随着开源社区的蓬勃发展,现在很难找到一款完全不包含任何开源组件的程序。而开源组件的安全性问题却没有得到足够重视,甚至有人认为开源软件都是安全的,其实不然。

开源安全的特点:
1. 由于源代码公开,所有发现的漏洞都会被第一时间公布,因此也容易被攻击者利用
2. 开源组件的作者通常都会在发现问题后立刻修复并发布新版本,而软件的最终用户往往得不到最及时的更新。
3. 在软件开发和验收过程中,人们往往无法准确判断软件里包含哪些开源组件,是否存在严重安全隐患。

中国开源安全联盟(www.cvecn.com)部分的解决了这些开源漏洞的定位问题。 联盟在其官网上提供免费二进制可执行文件扫描服务。可以对exe, jar, apk, ipk, iso, bin, dll, dmg, pkg等多种二进制文件进行扫描,不仅能定位开源漏洞并提供CVE编号和修补方案,还能分析出所使用的开源组件清单,据说使用的是国际上律师事务所和知识产权海关同样的分析技术。

在2006年的LinuxWorld大会上,Linux内核维护人考克斯强调,有相当数量的资金被用来攻击开放源代码系统。他警告说,许多开放源代码项目远谈不上安全,许多资金都被用来破坏开放源代码系统的安全。媒体上经常有这样的字眼:开放源代码软件更安全、更可靠,缺陷也更少。这是一种危险的观点。

CVE 是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。在风险评估中最重要也是最困难的两个环节就是风险的量化,以及找到风险项后如何寻找控制措施。CVE给了我们非常好的指导去进行风险评估中的技术评估。用户完全可以参考CVE字典和相应的数据库建立自己企业的风险评估指标体系,而且所有的这些风险项都可以通过CVE索引迅速地找到相应的修补控制措施。
分享到:
评论

相关推荐

    《2024攻防演练必修高危漏洞集合》

    ### 2024攻防演练必修高危漏洞集合 #### 一、前言 随着信息技术的快速发展,网络安全已成为企业不可忽视的关键领域之一。近年来,攻防演练(HW)作为检验网络安全防护能力的重要手段,得到了广泛的应用和发展。在...

    网络系统安全评估及高危漏洞.rar

    网络安全是信息化社会中至关重要的一个领域,而网络系统安全评估及高危漏洞的主题则直指这一领域的核心问题。网络系统安全评估旨在识别、分析和管理潜在的风险,确保系统的稳定运行和数据的安全。高危漏洞则是这些...

    安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip

    "安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip" 提供的是一款专为解决这一问题设计的软件,旨在增强系统的防护能力,抵御潜在的高危漏洞攻击。 首先,我们要理解什么是高危漏洞。在计算机系统中,漏洞...

    开源软件源代码安全缺陷分析报告

    然而,开源软件的安全问题也日益凸显,成为网络安全领域的重点关注对象。 #### 二、被测开源软件 为了全面评估开源软件的安全状况,本报告选择了20款在全球范围内具有广泛用户基础和高度关注度的物联网类开源软件...

    2021年开源软件供应链安全风险研究报告.pdf

    本文将从开源软件漏洞发展现状、开源组件生态安全风险、组件漏洞依赖层级传播范围分析、文件级漏洞潜在安全风险及波及范围等几个方面对开源软件供应链安全风险进行详细的分析和讨论。 一、开源漏洞发展现状及趋势 ...

    从高危漏洞看电商金融安全.pdf

    受利益驱使,金融、电商行业被更多黑客“盯上”,厂商越早地 主动客观对待安全问题,才能避免更多的损失; 建议企业更多地关心业务逻辑层面安全问题,APP/API/微信接口 问题; 有人的地方就有江湖,有江湖就有漏洞。人永远...

    2023攻防演练必修高危漏洞集合

    高危漏洞一直是企业网络安全防护的薄弱点,也成为攻防演练期间红队的重要突破口。这些高危漏洞的存在会导致企业防御体系被突破、甚至靶标失守。 三、高危漏洞防护措施 为了防止高危漏洞的存在对企业造成风险,可以...

    2023年攻防演练利器之必修高危漏洞合集(包含详细修复建议)

    企业应定期检查其资产,确保所有系统和应用程序都打上了最新的安全补丁,并实施严格的安全策略以防止高危漏洞被利用。同时,配合自动化工具和专业服务,可以显著提高安全管理水平,降低网络安全风险。

    2020年9月安全监测报告「护网期间高危漏洞使用情况」1

    【2020年9月安全监测报告「护网期间高危漏洞使用情况」1】这份报告揭示了网络安全领域在2020年9月份的关键风险。奇安信CERT(网络安全应急响应中心)在该月监测到了74027个漏洞,新增2514个,其中969条触发了人工研...

    2024HW必修高危漏洞集合-v3.0

    通过对上述高危漏洞的详细解析,我们可以看到,无论是远程代码执行漏洞、文件上传漏洞还是不安全的反序列化漏洞,都是当前网络安全防护中不容忽视的问题。企业应高度重视此类漏洞的存在,并采取积极措施进行防范。斗...

    网络系统安全评估及高危漏洞.pptx

    网络系统安全评估及高危漏洞.pptx

    2020年活跃高危安全漏洞盘点.pdf

    2020年活跃高危安全漏洞盘点.pdf

    关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc

    Apache Tomcat 文件包含高危漏洞(CVE-2020-1938 对应 CNVD-2020-10487)是近期发现的一项高危安全漏洞,该漏洞存在于 Tomcat 服务器的 AJP 协议中,攻击者可以通过构造特定参数的方式,读取服务器 webapp 目录下...

    2021 ISC:信创数据库漏洞及安全的研究与思考.pdf

    然而,由于技术迭代快和安全机制尚待优化,信创数据库普遍存在的安全问题也不容忽视。这些安全问题按照漏洞危害性分类,高危漏洞占比最高,其次是中危漏洞;按攻击途径分类,远程漏洞的比例高于本地漏洞。信创数据库...

    亚信安全:2024攻防演练利器之必修高危漏洞合集免费下载

    2024国家级攻防演练在即,亚信安全服务团队结合自身的“外部攻击面管理”服务能力和专业的红队能力,正式发布《2024攻防演练必修高危漏洞合集》。《2024攻防演练必修高危漏洞合集》以资产覆盖率、漏洞影响面、漏洞...

    2024HW必修高危漏洞集合-v4.0

    随着数字化转型的深入发展,网络安全问题日益凸显,尤其是针对企业的高危风险漏洞成为了网络安全防护中的薄弱环节。这些漏洞不仅是红队在攻防演练期间的重要攻击目标,也是导致企业网络安全防线被突破的关键因素之一...

    struts1.3.15.1高危漏洞修复版ssh包

    在Struts 1.x版本中,存在一个名为CVE-2017-9791的安全漏洞,这是一个高危级别的远程代码执行漏洞,攻击者可以利用这个漏洞执行任意系统命令,对服务器安全构成严重威胁。SSH(Spring、Struts、Hibernate)是一种...

    OpenEuler22.03 LTS 升级openssh9.6p1解决openssh中高危漏洞(亲测有效)

    最近,OpenSSH曝出了一些高危漏洞,这些漏洞可能被恶意攻击者利用,对系统造成严重威胁。因此,升级OpenSSH至最新版本变得极为迫切。本文将详细介绍如何在OpenEuler 22.03 LTS上升级OpenSSH到9.6p1版本,以及这个...

    高危漏洞专查工具合集.rar

    高危漏洞则是其中危害程度极高的类型,一旦被利用,可能导致严重的系统崩溃、数据泄露或者服务中断。 系统漏洞扫描工具是专门设计用来自动化检测这些漏洞的软件。它们通过模拟攻击、枚举服务、分析网络流量等方式,...

    开源软件漏洞库综述.pdf

    《开源软件漏洞库综述》一文探讨了在信息技术安全领域中至关重要的议题——开源软件的漏洞管理和安全防护。文章详细介绍了开源软件漏洞库的重要性和使用,以及它们在漏洞挖掘、安全管理、威胁情报和自动化等方面的...

Global site tag (gtag.js) - Google Analytics