设为首页收藏本站我的广告

运维网

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
总共321条微博

每日一博

查看: 1022|回复: 0

[业内动态] 【站长推荐】英国现代应用大量使用开源组件,被指有严重安全隐患【顶】

[复制链接]

该用户从未签到

wetrd 发表于 2018-3-5 15:12:24 | 显示全部楼层 |阅读模式
【站长推荐】据 Sonatype 最新研究数据显示,在过去一年中开源组件在英国的下载量飙升了 100% 以上。Sonatype 表示,如今的开发者广泛使用开源组件,估计各个现代应用程序的 80%-90% 都由它们组成。而在 2016 年,开发者从 Central Repository 就已下载超过 520 亿次 Java 组件。
但是,由于手动升级流程和缺乏内置安全控制,许多开发者错过了组件的安全修复。根据 Sonatype 的说法,去年该国软件应用中使用的第三方组件中有一半已经过时,其中 8 个开源组件中就有 1 个包含已知的安全漏洞,同比增长 120 %。
Sonatype 表示,该报告数据来自 The Central Repository、Apache Maven、SBT 和其他包含超过 2.5 M 索引工件的热门存储库。比如说,2017 年英国有约 145000 次易受攻击的 Apache Commons Collections 版本的下载次数,这些版本漏洞已被勒索软件攻击利用。此外,英国开发者还下载了约 68000 个已知加密漏洞的 Bouncy Castle 组件版本和 40000 个易受攻击的 Apache Struts 组件版本。

英国现代应用大量使用开源组件,被指有严重安全隐患

英国现代应用大量使用开源组件,被指有严重安全隐患

对于这种现象,有分析人员建议:“与其等待应用被组装起来以后来扫描并识别这些已知漏洞,倒不如通过储存库在下载时就警告开发人员不要下载和使用这些已知易受攻击的组件,甚至直接阻止下载那些已发现严重漏洞的组件版本。”
源自:oschina
运维网 感谢您的阅读
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|申请友链|sitemap|手机版|小黑屋|Archiver|运维网 ( 京ICP备16008201号  

GMT+8, 2018-9-25 17:09 , Processed in 0.057738 second(s), 31 queries , XCache On.

Powered by Discuz! X3.4 Licensed

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表