您的位置: 网界网 > 周报全文 > 正文

[周报全文]调查显示开源代码库漏洞成堆 不安全开源代码威胁企业应用安全

2012年04月19日 16:22:03 | 作者:佚名 | 来源:网界网 | 查看本文手机版

摘要:近日的一项调查显示,开源代码库漏洞成堆,不安全开源代码可能会危及企业应用安全。此次调查由Aspect Security公司和Sonatype公司执行。

标签
软件漏洞
开源代码库
Toolkit
Google Web
Apache Xerces

本报讯 近日的一项调查显示,开源代码库漏洞成堆,不安全开源代码可能会危及企业应用安全。此次调查由Aspect Security公司和Sonatype公司执行。Aspect Security公司是一家负责评估软件漏洞的公司,Sonatype公司则是提供中央组件库的公司。

在这项研究中,研究人员对过去12个月中31个流行Java框架和安全库的1.13亿次软件下载进行了分析。研究人员发现,1980万(26%)个代码库下载存在已知漏洞,全球500强公司在一年中下载了280万个以上的不安全组件。研究还显示,与Java框架相比,安全库存在已知漏洞的可能性稍微高一些。开源社区没有指出存在漏洞的代码,也没有说明修复补丁发布时应该如何修复漏洞,这导致了问题的严重化。

这项研究指出了一些广为人知的漏洞:

■ 主流应用程序Java开发框架Spring在去年被超过4.3万个企业下载超过1800万次。然而,去年一项研究发现,Spring的Expression Language(语言表达)中存在的新型漏洞能够通过HTTP参数提交被攻击者利用,并可以让攻击者获取重要系统数据、应用程序和用户Cookie。

■ 谷歌研究小组在2010年发现了Struts2中的一个漏洞,该漏洞允许攻击者在任何Struts2 Web应用程序上执行任何代码。

■ Web Services框架Apache CXF在过去的12个月中,被1.6万个企业下载超过420万次。自2010年以来(+微信关注网络世界),Apache CXF中发现了两个主要漏洞(CVE-2010-2076和CVE 2012-0803),允许攻击者使用CXF来欺骗任何服务,以便下载任意系统文件和绕过身份验证机制。

一个开源软件组件能够在十几个,甚至数百个其他组件中重复使用。这意味着那个组件中的安全漏洞能够传播给每一个依靠它的组件。控制这种局面的第一步是编辑一个在应用中使用的开源软件组件目录。企业还需要跟踪组件下载和使用,以便了解消费情况和制定内部组件库,更新和通报新发现的安全漏洞。另外,企业必须建立整个开发周期的控制机制。

[责任编辑:孙可 sun_ke@cnw.com.cn]