欢乐颂第一季,完美世界辰东小说下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

開源軟件漏洞的發(fā)現(xiàn)周期超過四年

近日，GitHub在其年度Octoverse狀態(tài)報(bào)告中指出，開源軟件安全漏洞在被披露之前的發(fā)現(xiàn)周期超過四年。

為新興等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù)，及新興網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為做網(wǎng)站、網(wǎng)站建設(shè)、新興網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

報(bào)告分析了超過45,000個(gè)活動(dòng)代碼目錄，以深入了解開源安全性(漏洞)以及開發(fā)人員在漏洞報(bào)告、警報(bào)和補(bǔ)救方面的做法。

其他發(fā)現(xiàn)

通過分析依賴關(guān)系圖收集的長(zhǎng)達(dá)一年的數(shù)據(jù)后，報(bào)告發(fā)現(xiàn)GitHub上的大多數(shù)項(xiàng)目至少具有一個(gè)開源依賴項(xiàng)。

對(duì)于使用JavaScript(94%)、Ruby(90%)和NET(90%)的用戶來說百分比最高。JavaScript和Rudy項(xiàng)目的中位數(shù)直接依賴項(xiàng)數(shù)量最多(分別為10和9)，而JavaScript的中位數(shù)可傳遞依賴項(xiàng)數(shù)量最多(即它們的直接依賴項(xiàng)本身具有其他依賴項(xiàng))。

另一個(gè)有趣的發(fā)現(xiàn)是，大多數(shù)開源軟件漏洞是由錯(cuò)誤而不是惡意攻擊引起的。

“對(duì)來自六個(gè)生態(tài)系統(tǒng)的521個(gè)隨機(jī)樣本進(jìn)行的分析發(fā)現(xiàn)，有17%的代碼提交與后門嘗試之類的明顯惡意行為有關(guān)。在這17%的統(tǒng)計(jì)中，絕大多數(shù)來自npm生態(tài)系統(tǒng)?！?/p>

他們解釋說，后門最明顯的跡象是攻擊者通常是通過賬戶劫持來獲取對(duì)程序包源代碼存儲(chǔ)庫的訪問權(quán)限，而針對(duì)這些嘗試的最后一道防線是在開發(fā)管道中進(jìn)行仔細(xì)的同行評(píng)審，尤其是來自新提交者的更改。

“許多成熟的項(xiàng)目都進(jìn)行了認(rèn)真的同行評(píng)審。攻擊者已經(jīng)意識(shí)到了這一點(diǎn)，因此他們經(jīng)常試圖在發(fā)行時(shí)間節(jié)點(diǎn)通過版本控制之外的手段來實(shí)施破壞，例如通過對(duì)軟件包名稱進(jìn)行篡改來欺騙人們下載惡意代碼版本。”

GitHub指出，人為失誤產(chǎn)生的漏洞也能具有類似惡意攻擊的破壞性，而且更有可能影響受歡迎的項(xiàng)目。

開源安全的最佳實(shí)踐

“使用開源軟件時(shí)，安全始終是關(guān)注的重點(diǎn)。我們的分析表明，發(fā)現(xiàn)的潛在漏洞與所編寫代碼的行數(shù)成正比?！眻?bào)告指出：“開源的力量和希望來自社區(qū)。通過與數(shù)百萬開發(fā)人員的聯(lián)手，不僅可以開發(fā)軟件包而且可以識(shí)別和修復(fù)漏洞，我們可以更快、更安全地開發(fā)軟件。”

報(bào)告強(qiáng)調(diào)，開源安全的關(guān)鍵是利用自動(dòng)警報(bào)和補(bǔ)丁工具?！拔覀冏约旱姆治霭l(fā)現(xiàn)，自動(dòng)生成pull request更新補(bǔ)丁版本的存儲(chǔ)庫，平均修復(fù)時(shí)間為33天，這比沒有自動(dòng)更新的存儲(chǔ)庫要快13天或1.4倍。”

文章標(biāo)題：開源軟件漏洞的發(fā)現(xiàn)周期超過四年
當(dāng)前URL：http://m.fisionsoft.com.cn/article/dpeieoi.html

新聞中心

其他資訊