`
Qschecker
  • 浏览: 8263 次
  • 性别: Icon_minigender_2
  • 来自: 香港
文章分类
社区版块
存档分类
最新评论

热门软件竟然也有上百个高危漏洞?开源安全问题不容忽视

阅读更多
随着开源社区的蓬勃发展,现在很难找到一款完全不包含任何开源组件的程序。而开源组件的安全性问题却没有得到足够重视,甚至有人认为开源软件都是安全的,其实不然。

开源安全的特点:
1. 由于源代码公开,所有发现的漏洞都会被第一时间公布,因此也容易被攻击者利用
2. 开源组件的作者通常都会在发现问题后立刻修复并发布新版本,而软件的最终用户往往得不到最及时的更新。
3. 在软件开发和验收过程中,人们往往无法准确判断软件里包含哪些开源组件,是否存在严重安全隐患。

中国开源安全联盟(www.cvecn.com)部分的解决了这些开源漏洞的定位问题。 联盟在其官网上提供免费二进制可执行文件扫描服务。可以对exe, jar, apk, ipk, iso, bin, dll, dmg, pkg等多种二进制文件进行扫描,不仅能定位开源漏洞并提供CVE编号和修补方案,还能分析出所使用的开源组件清单,据说使用的是国际上律师事务所和知识产权海关同样的分析技术。

在2006年的LinuxWorld大会上,Linux内核维护人考克斯强调,有相当数量的资金被用来攻击开放源代码系统。他警告说,许多开放源代码项目远谈不上安全,许多资金都被用来破坏开放源代码系统的安全。媒体上经常有这样的字眼:开放源代码软件更安全、更可靠,缺陷也更少。这是一种危险的观点。

CVE 是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。在风险评估中最重要也是最困难的两个环节就是风险的量化,以及找到风险项后如何寻找控制措施。CVE给了我们非常好的指导去进行风险评估中的技术评估。用户完全可以参考CVE字典和相应的数据库建立自己企业的风险评估指标体系,而且所有的这些风险项都可以通过CVE索引迅速地找到相应的修补控制措施。
分享到:
评论

相关推荐

    开源软件源代码安全缺陷分析报告

    然而,开源软件的安全问题也日益凸显,成为网络安全领域的重点关注对象。 #### 二、被测开源软件 为了全面评估开源软件的安全状况,本报告选择了20款在全球范围内具有广泛用户基础和高度关注度的物联网类开源软件...

    2021年开源软件供应链安全风险研究报告.pdf

    本文将从开源软件漏洞发展现状、开源组件生态安全风险、组件漏洞依赖层级传播范围分析、文件级漏洞潜在安全风险及波及范围等几个方面对开源软件供应链安全风险进行详细的分析和讨论。 一、开源漏洞发展现状及趋势 ...

    《2024攻防演练必修高危漏洞集合》

    ### 2024攻防演练必修高危漏洞集合 #### 一、前言 随着信息技术的快速发展,网络安全已成为企业不可忽视的关键领域之一。近年来,攻防演练(HW)作为检验网络安全防护能力的重要手段,得到了广泛的应用和发展。在...

    网络系统安全评估及高危漏洞.rar

    网络安全是信息化社会中至关重要的一个领域,而网络系统安全评估及高危漏洞的主题则直指这一领域的核心问题。网络系统安全评估旨在识别、分析和管理潜在的风险,确保系统的稳定运行和数据的安全。高危漏洞则是这些...

    安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip

    "安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip" 提供的是一款专为解决这一问题设计的软件,旨在增强系统的防护能力,抵御潜在的高危漏洞攻击。 首先,我们要理解什么是高危漏洞。在计算机系统中,漏洞...

    开源软件安全实践与思考.pdf

    此外,开源组件的历史漏洞关联问题也较为严重,例如Jsoup、Log4j和Commons Collections等知名开源项目都曾爆出严重的安全漏洞。 在开源软件安全实践方面,奇安信代码安全实验室展开了一系列的检测和治理工作。例如...

    开源软件漏洞库综述.pdf

    《开源软件漏洞库综述》一文探讨了在信息技术安全领域中至关重要的议题——开源软件的漏洞管理和安全防护。文章详细介绍了开源软件漏洞库的重要性和使用,以及它们在漏洞挖掘、安全管理、威胁情报和自动化等方面的...

    2023攻防演练必修高危漏洞集合

    8700 综合安防管理平台软件文件上传漏洞、泛微 e-cology9 用户登录漏洞、Foxit PDF Reader/Editor exportXFAData 远程代码执行漏洞、Grafana JWT 泄露漏洞、Apache Superset 会话认证漏洞、Apache Druid 远程代码...

    开源软件信息安全实践与思考.pdf

    检测结果表明,86.4%的固件存在至少一个老旧开源软件漏洞,而漏洞最多的固件中竟然检测出74个漏洞。 在企业开源软件安全治理实践方面,对大型开发团队进行了详细的案例分析,涉及到67个软件开发项目。具体的实践...

    从高危漏洞看电商金融安全.pdf

    介绍 金融电商安全概括 趋势与面临问题 ...有人的地方就有江湖,有江湖就有漏洞。人永远是安全威胁中最 薄弱的环节; 网站安全,内外兼修:解决网站本身安全漏洞,防止黑客攻击; 加强内部研发运维人员安全意识与知识。

    2023年攻防演练利器之必修高危漏洞合集(包含详细修复建议)

    【网络安全】:网络安全是当前数字化时代企业关注的焦点,它涉及到保护信息资产、防止非法入侵、维护业务连续性等多个方面。随着技术的进步,网络安全威胁也在不断演变,从传统的病毒、木马到现在的高级持续性威胁...

    国家互联网应急中心2021年开源软件供应链安全风险研究报告2021.6(25页).pdf

    然而,开源软件供应链的安全问题不容忽视。报告指出,开源软件的安全风险主要包括安全漏洞、知识产权纠纷和软件供应链安全等几个方面。其中,安全漏洞是当前面临的主要挑战。 报告的第一部分探讨了开源软件漏洞的...

    Intel等主流处理器爆出多个高危漏洞威胁系统安全.pdf

    【标题】:“Intel等主流处理器爆出多个高危漏洞威胁系统安全” 【描述】:报告指出,包括Intel在内的主流处理器存在严重的安全漏洞,如熔断(Meltdown)和幽灵(Spectre),这些芯片级别的漏洞可能导致用户的重要...

    2020年活跃高危安全漏洞盘点.pdf

    2020年活跃高危安全漏洞盘点.pdf

    SolarWinds 多个高危漏洞通告 .pdf

    本文主要讨论的是关于SolarWinds软件的多个高危漏洞,这些漏洞可能对业务安全、安全开发、自动化、云安全和安全测试等方面构成严重威胁。SolarWinds是一家提供网络管理和IT基础设施监控的公司,其产品被广泛使用,...

    2024HW必修高危漏洞集合-v3.0

    通过对上述高危漏洞的详细解析,我们可以看到,无论是远程代码执行漏洞、文件上传漏洞还是不安全的反序列化漏洞,都是当前网络安全防护中不容忽视的问题。企业应高度重视此类漏洞的存在,并采取积极措施进行防范。斗...

    2021 ISC:信创数据库漏洞及安全的研究与思考.pdf

    然而,由于技术迭代快和安全机制尚待优化,信创数据库普遍存在的安全问题也不容忽视。这些安全问题按照漏洞危害性分类,高危漏洞占比最高,其次是中危漏洞;按攻击途径分类,远程漏洞的比例高于本地漏洞。信创数据库...

    金山开源BKUI.25.显示漏洞扫描结果

    显示漏洞扫描结果】是一个关于软件安全性的主题,主要涉及的是在开源项目中如何展示漏洞扫描的结果。金山开源,作为中国知名的软件开发平台,致力于推动开源技术的发展,其产品和服务通常具有良好的安全性与可靠性。...

Global site tag (gtag.js) - Google Analytics