it177模板网(www.it177.com)精品网站源码,织梦建站模版,游戏源代码分享平台

模板户源码

当前位置:首页 -> CMS教程 -> ecshop 正文

2019 开源安全报告:开发者安全技能短板明显,热门项目成漏洞重灾区!

时间:2019-03-21 08:05:22 [整站源码]作者:zhaopulei


程序开发903567778 商遇


近年来,开源软件的使用范围正在不断扩大,“拥抱开源”似乎也成了一种企业间的普遍趋势。特别是在 2018 年,科技巨头纷纷加注——微软以 75 亿美元收购了 GitHub;IBM 以 340 亿美元拿下 RedHat,开源软件正在成为现代企业的基础。

与此同时,暴露于安全漏洞的风险也在逐步增长,开源环境的安全问题开始受到越来越多的关注。而漏洞数量的增幅与开发者自身技能与安全意识提升速度间的断层,也成了一大不容忽视的问题。

为了更好地了解开源的安全现状,以及相对应的改进手段,针对开源项目提供安全服务的公司 Snyk 对一系列数据进行了统计分析,并于近日发布了《2019 年度开源安全现状调查报告》,其数据来源包括:

  • 由 Snyk 发起的一项调查,该调查覆盖了 500 多名开源项目的维护者和用户;

  • Snyk 漏洞数据库的内部数据,以及由 Snyk 监控和保护的数十万个项目;

  • 通过研究各供应商发布的外部资源,以及通过扫描数百万个公开的 GitHub 仓库和包收集到的数据。



开源项目采用率和漏洞数量“比翼”齐增


Java 包翻番,npm 约增 25 万新包

回顾 2018,我们不难发现在各语言生态系统中,越来越多的开源库被编入索引,且呈现出爆炸式增长。2017-2018 年,索引包增长情况如下:

  • Maven Central:102%

  • PyPI:40%

  • npm:37%

  • NuGet:26%

  • RubyGems:5.6%

据报告显示,开源项目的采用率正在加速增长。仅 2018 年间,Java 包便翻了一番,npm 亦增加了大约 25 万个新包。

Python 下载翻倍,JavaScript 包下载量高达 3170 亿个

开源软件的消费也在飞速发展。从 PyPI 下载的 Python 包是以前的两倍,从 npm 下载的 JavaScript 包更是达到了惊人的 3170 亿个。

PyPI 在 2018 年拥有超过 140 亿的下载量,较之 2017 年的 63 亿次已然翻了一番。


PyPI 包在 2018 年的下载次数

注:如上图所示,年中下载数量的激增是由于 PyPI 统计数据收集服务 linehaul 的一个故障,因此漏掉了 8 月之前了大约一半的下载记录。据推测,2018 年的下载量为 140 亿次,但实际数量可能要更多。

npm 注册表是整个 JavaScript 生态系统的核心。在过去的几年里,下载数量和软件包数量一直在稳步增长。仅 2018 年 12 月一个月的下载量就超过了 300 亿次,而 2018 年全年的下载量更是惊破 3170 亿次。


npm 包在 2018 年的下载次数

随着软件包数量的增长,它们的漏洞也在增加。Linux 基金会在去年报告称,开源贡献者已经提交了超过 310 亿行代码。然而,随着大量采用,随之而来的是巨大的压力和风险,任何拥有、维护或使用此代码的人都需要承担起降低风险的责任。2017 年,CVE 报告了超过 14000 个漏洞,打破了单年内的最高记录。而这一数据在去年再创新高,披露了超过 16000 个漏洞。


已知漏洞数增幅明显,处理任务日趋紧迫


漏洞就是漏洞,不管是否已知。两者之间的关键区别在于攻击者意识到这个漏洞并试图利用它的“可能性”。因此,对漏洞的认识越深入,对其处理的需求就越迫切。

已知的漏洞可能具有与之关联的 CVE ID,也可能只是在网上披露或存储在开放数据库中。这些都是应该优先消除的已知漏洞类型,因为它们受到攻击的几率更高。再之后就应该考虑在封闭的漏洞数据库中捕获的漏洞,甚至是在暗网中共享的漏洞。

应用程序库漏洞在两年内增加了 88%,npmMaven Central 数据突出

  • 两年内应用程序的漏洞数量增长了 88%;

  • 2018 年,npm 的漏洞数量增长了 47%;据 Maven Central 和 PHP Packagist 披露的数据显示,其漏洞数量涨幅分别为 27% 和 56%;

  • 较之 2017 年,2018 年在 RHEL、Debian 和 Ubuntu 中追踪发现的漏洞数量增加了 4 倍多


值得特别关注的是,自 2014 年以来,Synk 的 npm 数据库和 Maven Central 数据库中的漏洞数量分别增长了 954% 和 346%。

高危漏洞有所减少,但在整体漏洞中仍占最大份额

对比查看了过去三年在所有语言生态系统中公开的应用程序库的漏洞严重程度时发现,与前一年相比,2018 年的高危漏洞数量有所减少。

此外,还有一个有趣的发现,那就是与 2016 年相比,2017 年和 2018 年的一个共同点是,高危漏洞多于中危漏洞或低危漏洞。

Zip Slip 漏洞

Zip Slip是一个广泛存在的关键存档提取(critical archive extraction)漏洞,该漏洞允许攻击者在系统中任意写文件,尤其是会导致远程命令执行。Snyk安全团队的研究人员6月5日发现并公布了该漏洞的细节,该漏洞影响上千个工程项目,其中一些工程来自HP、亚马逊、Apache、Pivotal等。

没有 CVE 编号的漏洞

当新的漏洞通过国家漏洞数据库(National vulnerability Database, NVD))或其他公共 CVE 存储库公开时,安全团队通常会跟踪并应对这些漏洞。然而,很多安全漏洞是在非官方渠道中发现和修复的,比如通过问题跟踪器中维护人员和用户之间的非正式通信。


安全现状与开发者专业技能不对等,漏洞解决难度升级


谁该对开源软件的安全性负责?据报告显示:

  • 81% 的用户认为开发者负责开源软件的安全性

  • 68% 的用户认为开发者应该对他们提供的 Docker 容器镜像负安全责任

  • 只有 30% 的开源软件维护者认为自己具有高安全性意识


谁该对开源软件的安全性负责

开发人员总被赋予安全保障的重任,但事实上他们并未准备好

开源维护者想要安全,但是他们当中有七成表示自身缺乏相应技能。

开源维护者表示,他们的安全知识正在提高,但还不够高。据调查显示,大多数用户将他们的安全知识列为中等水平,平均 6.6 分(满分 10 分) 63%,而去年这一档的比例为 56%。


开发者对自身安全意识的认知情况

此外,还有四分之一的开源维护者表示不会去审计他们的代码库。去年,44% 的受访者表示他们从未进行过安全审计,而今年,这个数字倒是降了很多,26% 的用户表示他们没有审计源代码的习惯。

同时报告中还谈到了安全测试环节的缺失:

  • 37% 的开源开发者在持续集成(CI)期间没有实施任何类型的安全测试;54% 的开发者没有对 Docker 镜像进行任何安全测试

  • 从漏洞添加至开源软件包到修复漏洞的时间中位数超过 2 年

持续集成期间的安全测试情况



Docker 镜像成漏洞重灾区,Node 环境下数量最多


Docker 镜像几乎总是在带来巨大价值的同时带来已知漏洞:

  • 十大最流行的默认 Docker 镜像中,每一个都包含至少 30 个易受攻击的系统库

  • 20% 的镜像可以通过简单地重建 Docker 镜像来修复漏洞;44% 经过扫描的 Docker 镜像可以通过更新其基本镜像标记(image tag)来修复已知漏洞。如果你意识到这一点,修复起来会很容易。


十大流行 Docker 镜像的漏洞数量


Linux 操作系统的漏洞数量在持续增长


系统库中的紧急漏洞和高危漏洞数量对比



npm 中的 ReDoS 漏洞激增 143%,XSS 继续增长


正则表达式拒绝服务(ReDoS)

众所周知,Node.js 运行时有许多优点,但有一点需要注意的就是“单线程事件循环”,如果没有正确使用,就极有可能成为其最薄弱的环节。这一情况发生的频率比大家想象的要高。

ReDoS 攻击利用了一些正则表达式模式可能导致的非线性最坏情况的复杂性漏洞。对于单线程 runtime 而言,这可能是毁灭性的,这就是为什么 Node.js 会受到这种漏洞的严重影响。

调查发现,在过去三年里,ReDoS 漏洞暴露的数量越来越多,仅 2018 年就激增了 143%:

XSS 漏洞

跨站点脚本攻击(XSS)已经成为 Web 应用程序日益增长的痛点,2018 年,在  Snyk 一直监控的所有生态系统中,XSS 漏洞呈增长趋势。

开源库中的 XSS 漏洞仍然在增加,尽管它已经成为 OWASP(一个组织,全称开放式 Web 应用程序安全项目)这 15 多年来关注的首要问题。

在这些生态系统中,我们发现 npm 中的 XSS 漏洞最多,总共暴露了 225 个;其次是 Maven 中央存储库,有 167 个;PyPI 共 163 个跨站点脚本漏洞。2018 年,PHP Packagist 生态系统披露的 XSS 漏洞最多,共 56 个,其次是 npm(54 个)和 Maven Central(29 个)。


78% 的漏洞是在间接依赖中发现的,这使得修复非常复杂


很难想象在没有任何开源依赖的情况下编写软件的日子。管理项目的依赖关系是一项重要的任务,需要尽职调查来正确跟踪所依赖的库。毕竟,你正在部署的应用程序捆绑了你的代码和依赖项。

npm、Maven 和 Ruby 中的大多数依赖项都是间接依赖项,间接依赖项中的漏洞占总体漏洞的 78%。

风险和影响

只有三分之一的开发人员能够在一天或更短的时间内解决高危或关键漏洞。

在 GitHub 今年发布的 GitHub Octoverse 报告中,安全性是最受欢迎的项目集成应用程序类别。这里引用下 Gartner 在最近一份应用程序安全报告中的一段话,该报告讲到了组织在应用程序生命周期中尽早展开安全测试的必要性:

企业应定期使用 SCA 工具对包含软件资产(例如版本控制和配置管理系统)的存储库进行审计,以确保企业开发和/或使用的软件符合安全和法律标准、规则和法规。应用程序开发人员应该能够访问 SCA 工具来检查他们计划使用的组件。——Mark Horvath, Hype Cycle For Application Security 2018, Gartner

据此次报告显示,将近一半(43%)的受访者至少有 20 个直接依赖项,这增加了监视通过这些库引入的开源漏洞的必要性。

我们使用开源软件的次数越多,就会积累越多的风险,因为我们包含了其他人的代码,这些代码现在或将来可能包含漏洞。此外,风险不仅和代码的安全性有关,还关乎所采用代码的许可遵从,以及该代码是否违反了开源许可本身。


为了更好的开源环境

应用程序组合非常复杂。作为操作系统维护者和开发人员,可以采取一些行动来提高您所拥有和参与的项目的安全性。

商城版小程序:功能:分销、代理分红、积分商城、拼团、砍价、社区、代付、全返系统看到本文可优先秒杀价1000起一套!最火爆的创客新零售、社区团购、抖音小程序、共享影视等系统15801556781


    公司移动端商城功能清单
插件板块                       功能清单
-系统设置商城名称自定义(小程序页面显示)
-小程序设置(appid、Appscret)
-微信支付设置
-在线客服电话(开启 | 关闭)图标自定义、可设置客服外链
-一键拨号(开启|关闭)图标自定义
-底部版权自定义+链接
-快递鸟接口设置(物流实时跟踪)
-小程序端分类样式选择(4种)
-未支付订单超时设置
-收货时间、售后时间设置
-自定义版本分隔符(开启|关闭)
-线下自提(开启 | 关闭)
-领券中心(开启 | 关闭)
-首页分类显示个数设置
-首页分类每行个数设置

商品推荐开关/数量自定义
-发货方式选择(快递或自提、仅快递、仅自提
-支付方式(在线支付|货到付款)
-导航栏图标个数设置(4 / 5)
-积分使用设置
-领券中心开关

客服外链

首页悬浮跳转小程序

快捷导航设置

提货地址维护

一键导航

购买会员开关

会员价显示开关

分销价显示开关
-模版消息支付通知、订单取消通知、发货通知、退款通知

公众号消息管理员/分销商通知,群发模板消息

全局包邮全局包邮设置

区域限制指定区域内客户可购买设置

购买限制订单满金额才能进行购买
-短信通知手机号码设置(多个)可开启或关闭
-用户下单短信通知
-订单退款提醒短信通知

验证码短信(用户手机授权)
-邮件通知可开启或关闭

消息列表所有系统消息列表
-运费规则添加:按重计费(首重、首费、续重、续费,省市选择)
按件计费(首件、首费、续件、续费,省市选择)
-修改
-快递单打印添加设置项、设置发件人信息、安装打印插件
-小票打印添加打印机、打印设置(目前支持:365、易联云、飞鹅打印机)
-下单打印/付款打印/确认收货打印
-小程序设置轮播图自定义设置
-导航图标自定义设置
-图片魔方自定义设置
-导航栏自定义设置
-用户中心自定义设置
-下单表单自定义设置

小程序可链接页面展示
-首页布局选择可选模块(轮播图、搜索框、导航图标、专题、领劵中心、分类、所有插件、公告、图片魔方等)
-自定义拖拽排版
-小程序发布扫码发布
-上传设置本地服务器、七牛云存储、阿里云oss存储,腾讯云存储
-子账户权限管理批量设置,默认功能
-版权管理底部版权文字、图标、链接自定义设置
-缓存数据缓存、临时图片、系统更新缓存
-门店设置添加门店信息地址
-门店定位
-前端门店列表(可电话 | 可导航)
-门店核销统计
-视频设置抓取网页视频地址
-首页导航设置中文链接选择
-支持跳转同公众号下的小程序
-支持外链
-系统更新
-系统工具数据库优化,字符集优化
-角色管理设置角色组权限
-用户管理填写系统操作用户,选择角色
-分销设置分销层级(不开启 | 层级选择)

分销自购功能

成为分销商条件,首次点击链接  首次下单 首次付款

购买商品自动成为分销商
-成为下线条件(无条件(需要审核)、审核、无需审核)
-个性推广海报设置
-提现方式(微信支付、支付宝支付、银行卡支付)
-提现额度设置(最少提现额度、每日提现上限)
-消费满xx自定成为分销商
-用户须知、分销协议
-申请页/待审核页面设置
-满金额自动成为分销商
-申请页、待审核页自定义设置

自定义文字信息
-佣金设置百分比或者固定金额


    发送中

    本文标签:AutoTags插件服务端需要您提供购买者的账号和密码才能继续访问  折翼天使  莎莎源码  吾爱源码  其他源码 

    转载请注明来源:PHP手机端发卡多种支付商业版源码

    本文永久链接地址:https://www.suibianlu.com/11942.html

    郑重声明:
    本站所有内容均由互联网收集整理、网友上传,并且以计算机技术研究交流为目的,仅供大家参考、学习,不存在任何商业目的与商业用途。
    若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。 我们不承担任何技术及版权问题,且不对任何资源负法律责任。
    如无法链接失效或侵犯版权,请给我们来信:admin@suibianlu.com

    栏目导航
    最新文章
    热门文章
    Top