要发现开源软件中的漏洞平均需要四年多的时间，而这是安全社区中需要解决的一个领域，研究人员说。

根据GitHub的年度状态https://octoverse.github.com/“target=”noopener noreferrer nofollow“data component=”externalLink“>Octoverse report，周三发布，依赖开源项目，组件，在2020年，GitHub平台上开发人员超过5600万，在过去的一年中，随着超过6000万个新存储库的创建，以及超过19亿个贡献的增加。

“你将很难找到一个场景，你的数据不通过至少一个开源组件，”GitHub说我们所依赖的许多服务和技术，从银行业到医疗保健业，也都依赖于开源软件。开源代码的构件是全球经济的重要基础设施，使得开源软件的安全性对世界至关重要https://www.zdnet.com/article/the-biggest-hacks-data-breaks-of-2020/“target=”\u blank“>最大的黑客攻击，2020年数据泄露

GitHub深入研究了开源安全的现状，比较了从组织的依赖性安全特性和平台支持的六个包生态系统收集的信息，这些信息从2019年10月1日到2020年9月30日，以及从2018年10月1日到2019年9月30日。

仅包含活动存储库，不包括fork或“垃圾邮件”项目。分析的包生态系统包括Composer、Maven、npm、NuGet、PyPi和RubyGems。

与2019年相比，GitHub发现94%的项目现在依赖于开源组件，平均有近700个依赖项。最常见的情况是，在JavaScript（94%）以及Ruby和.NET中发现了开源依赖性，分别占90%。

平均来说，在开源项目中，漏洞在公开之前可能有四年多没有被发现。一个修复通常在一个多月内就可以得到，GitHub说这“表明有明显的机会改进漏洞检测。”

然而，开源软件中的大多数bug都不是恶意的。相反，GitHub发布的CVE警报中有83%是由错误和人为错误引起的，尽管威胁参与者仍然可以利用这些错误和人为错误进行恶意攻击。

总共有17%的漏洞被认为是恶意的——例如后门变体——但这些漏洞只触发了0.2%的警报，这些警报最常见于废弃或很少使用的软件包。

CNET:最高法院审理黑客法及其限制的案件。

据GitHub称，平台上59%的活动存储库将在来年收到安全警报。在2020年，Ruby和JavaScript最有可能收到警报。

定义2020年“最糟糕”的开源漏洞并非易事，因为它取决于对用户和存储库的影响程度、可利用性和其他因素。一些虫子可能会立刻浮现在脑海中，包括Zerologon（CVE-2020-1472）和SMBGhost（CVE-2020-0796），但当涉及到项目时维护者们，GitHub将lodash污染的原型称为最严重的漏洞。

跟踪为CVE-2020-8203，严重性评分为7.4，由于lodash是使用最广泛和最受欢迎的npm软件包之一，仅RCE安全缺陷就导致了超过500万个GitHub-reliator警报。

TechRepublic:公司在流感大流行期间放松网络安全，以提高生产力

开源社区现在在软件开发中扮演着关键角色，但与任何其他行业一样，漏洞也将存在。GitHub表示，项目开发人员、维护人员和用户应该定期检查他们的依赖性漏洞，并应考虑实施自动警报，以更高效、更快速地解决安全问题。

“开源是关键的基础设施，我们都应该为开源软件的安全性做出贡献使用自动警报和补丁工具来快速保护软件，意味着攻击面正在演变，使攻击者更难利用。“

以前和相关报道

• 2020年最严重的加密货币泄露、盗窃，退出诈骗
  
• 流行开源项目中的漏洞在2019年翻了一番href=“https://www.zdnet.com/article/nsa-publishes-list-of-top-25-vulnerabilities-current-targeted-by-chinese-hackers/“target=”\u blank“>NSA公布榜单中国黑客目前针对的漏洞
  

---

有什么提示吗？通过WhatsApp |信号安全联系，电话：+447713 025 499，或通过Keybase:charlie0

absa银行卷入数据泄漏，被控盗窃的流氓员工

Google将于本月停止云打印服务：下一步该怎么办

2020年最严重的加密货币漏洞、盗窃，并通过注册退出诈骗

，您同意
2023-03-22 10:04:23