最近的一项研究发现,在接受调查的 31 个流行库(框架)的 1,261 个版本中,超过三分之一存在已知的安全漏洞,大约四分之一的下载文件已被污染。
该研究由 和 发起。 是一家评估软件安全漏洞的公司,主要提供中央存储库( ),托管超过 30 万个库和开源组件,每年有超过 40 亿个请求。
该公司的研究人员分析了过去 12 个月内从其下载的 31 个流行 Java 框架和安全库,结果发现:
在所有下载中,1980 万次(即 26%)存在已知漏洞。
下载次数最多的具有已知漏洞的库是 Web (GWT)、MVC 和 1.x。
研究发现,开源代码库中发现的漏洞类型非常广泛。 有些漏洞允许攻击者完全接管主机,有些可能会导致数据丢失或损坏,有些可能会为攻击者提供有用的信息。
研究人员表示,安全库比框架更有可能存在已知漏洞,如今的应用程序通常使用 30 个或更多库,这可能会危及应用程序中 80% 的代码。 在大多数情况下,漏洞的影响在很大程度上取决于应用程序如何使用该库。
研究人员列出了一些广泛传播的已知漏洞:
在过去的一年里,它已被超过 43,000 个组织下载了 1800 万次,但去年的一项发现显示,表达式语言中存在一种新型漏洞,攻击者可以通过提交 HTTP 参数来利用该漏洞,并获得对敏感系统的访问权限数据、应用程序和用户。
2010年,谷歌的研究团队发现了一个漏洞,该漏洞可能允许攻击者在所有基于的应用程序中执行任意代码。
去年,CXF(Web 服务框架)已被超过 16,000 个组织下载了 420 万次。 自2010年以来,该框架中出现了两个重大漏洞(CVE-2010-2076和CVE 2012-0803),允许攻击者欺骗任何使用CXF的服务下载任意系统文件并绕过身份验证。
研究人员表示,目前,开发人员没有很好的方法来了解他们正在使用的库中的已知漏洞,他们必须不断检查数十个邮件列表、博客、论坛,而且开发团队不太可能找到它们。 这些开源库中的漏洞,因为这需要大量的安全经验,所以自动化工具在分析这些库时基本上没有什么用处。
据该公司CEO介绍,开源库的使用还存在“依赖管理”的问题,开发者需要确定自己的项目真正直接依赖的库。 通常,开发人员会在一些非必要的功能中使用库,而这些库还可能依赖于其他库,这显然会带来大量过时的代码,增加安全风险,并增加应用程序的体积。
为了避免或减少这些风险,需要找出项目中使用了哪些库,并确定哪些库已经过时。 该公司建议谨慎使用该库。
好了,今天的主题就讲到这里吧,不管如何,能帮到你我就很开心了,如果您觉得这篇文章写得不错,欢迎点赞和分享给身边的朋友。
![[产品知识]小米TR608路由器常见问题解答](https://dabaigongju.com/wp-content/uploads/2023/12/1701401896846_0.jpg)
