开源漏洞数量增长33%!企业安全债务不堪重负丨行业数据

开源,漏洞,数量,增长,企业,安全,债务,不堪重负,行业,数据 · 浏览次数 : 33

小编点评

**安全报告摘要** 2022 年,mend 在其漏洞数据库中发现并添加到其漏洞数据库中的开源漏洞数量比 2021 年增加了 33%。 **漏洞数量增长** * 2022 年 1 月至 2022 年 9 月,约 1,000 家北美公司的软件包被扫描到漏洞数据库中。 * 已知漏洞中只有 13% 得到了修复,而使用现代应用程序安全最佳实践的公司则修复了 40%。 **开源代码的普及** * 70% 到 90% 的应用程序都会使用到开源代码。 * 随着开源的盛行,越来越多的公司发现自己容易受到攻击。 **安全债务和漏洞优先级** * 安全债务不断增加,找到一种方法来确定风险最高的漏洞的优先级至关重要。 * 使用漏洞优先级排序和修复工具至关重要。 **恶意软件包的数量增长** * 2022 年,恶意包数量在每季度稳步增长。 * 每天至少有 10 个恶意包被发布到包管理器 npm 和 rubygems。 **应用程序安全扫描的重要性** * 为了预防漏洞积压,定期进行应用程序安全扫描至关重要。 * 使用漏洞优先级排序和修复工具至关重要。

正文

安全公司 Mend 在 2022 年前九个月发现并添加到其漏洞数据库中的开源漏洞数量比 2021 年增加了 33%,这反映了已发布的开源软件包数量的增长。该报告从 2022 年 1 月到 2022 年 9 月对大约 1,000 家北美公司进行了代表性抽样,结果显示已知漏洞中只有 13% 得到了修复,而使用现代应用程序安全最佳实践的公司则修复了 40%。

随着开源的盛行,70%到90%的应用程序都会使用到开源代码,越来越多的公司发现自己容易受到攻击,因为威胁者会利用漏洞被修复之前的窗口期进行攻击。

鉴于安全债务不断增加,找到一种方法来确定风险最高的漏洞的优先级以免成为攻击的受害者至关重要。使用可以评估和优先考虑对系统影响最大的漏洞的补救工具是管理安全债务的一个重要因素。当然,企业不应该只关注严重性细节来确保有效的优先级排序和修复,还需要查看漏洞的利用背景和情况。企业每个月修复数千个漏洞,大量的漏洞修复任务使企业需要选择更好的现代修复最佳实践来处理检测到的持续不断的新漏洞浪潮,以防止漏洞积压。随着应用程序成为全球经济的命脉,定期进行应用程序安全扫描以及使用漏洞优先级排序和修复工具至关重要。

令人担忧的是,使用恶意包的攻击也在增加。数据显示,发布的恶意包数量在每季度稳步增长,从 2022 年第二季度到第三季度增长了 79%。每天至少有 10 个恶意包被发布到包管理器 npm 和 rubygems。 最重要的是,今天更多的包中含有遥测,并且一些现在被内置到供应链中(即有效内容具有包含恶意代码的依赖项)。除了恶意软件包的数量有所增加,其复杂性也在逐渐提升。为了领先于攻击者一步,企业需要确保他们正在利用应用程序安全工具,尤其是那些扫描恶意包的工具。

与开源漏洞数量增长33%!企业安全债务不堪重负丨行业数据相似的内容:

开源漏洞数量增长33%!企业安全债务不堪重负丨行业数据

安全公司 Mend 在 2022 年前九个月发现并添加到其漏洞数据库中的开源漏洞数量比 2021 年增加了 33%,这反映了已发布的开源软件包数量的增长。该报告从 2022 年 1 月到 2022 年 9 月对大约 1,000 家北美公司进行了代表性抽样,结果显示已知漏洞中只有 13% 得到了修复,

漏洞优先级排序的六大关键因素

当我们谈及开源漏洞时,我们会发现其数量永远处于增长状态。根据安全公司 Mend 研究发现,在 2022 年前九个月发现并添加到其漏洞数据库中的开源漏洞数量比 2021 年增加了 33%。该报告从 2022 年 1 月到 2022 年 9 月对大约 1,000 家北美公司进行了代表性抽样,结果显示已知

一文带你搞懂 Google 发布的新开源项目 GUAC

随着软件供应链攻击的显著增加,以及 Log4j 漏洞带来的灾难性后果和影响,软件供应链面临的风险已经成为网络安全生态系统共同关注的最重要话题之一。根据业内权威机构 Sonatype 发布的2022软件供应链现状报告,在过去三年中,针对上游开源代码存储库的恶意活动,旨在将恶意软件植入软件组件的攻击数量

CodeArts Snap:辅助你编程的神器

摘要:通过将自然语言转化为规范可阅读、无开源漏洞的安全编程语言,提升开发者编程效率,助力企业快速响应市场需求。 本文分享自华为云社区《华为云发布智能编程助手 CodeArts Snap!》,作者:DevAI 。 基于大模型的程序自动生成取得重大突破 数字时代竞争激烈,应用研发效率提升在企业竞争力构建

开源API越权漏洞检测系统推荐:IDOR_detect_tool

相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢? Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损。 而在Web应用的安全问题中,最常见的漏

[转帖]漏洞预警|Apache Tomcat 信息泄露漏洞

http://www.hackdig.com/03/hack-953615.htm 棱镜七彩安全预警 近日网上有关于开源项目Apache Tomcat 信息泄露漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。 项目介绍 Tomcat是Ap

一篇文章了解DongTai IAST

文章转载自DongTai官网,只限个人学习使用。 简介 洞态 IAST 是一个完全开源的 IAST 项目,它使用应用程序运行时数据流进行分析从而识别可被利用的安全漏洞,再按风险优先级的提供已验证漏洞列表功能,协助开发人员实时的代码修复。 主要功能:全面精准的应用漏洞测试、开源组件漏洞和风险分析、应用

Springboot 使用nacos鉴权的简单步骤

Springboot 使用nacos鉴权的简单步骤 背景 前端时间nacos爆出了漏洞. 因为他的默认token固定,容易被利用. 具体的问题为: QVD-2023-6271 漏洞描述:开源服务管理平台 Nacos 中存在身份认证绕过漏洞, 在默认配 置下未token.secret.key 进行修改

项目讲解之常见安全漏洞

本文是从开源项目 RuoYi 的提交记录文字描述中根据关键字漏洞|安全|阻止筛选而来。旨在为大家介绍日常项目开发中需要注意的一些安全问题以及如何解决。 项目安全是每个开发人员都需要重点关注的问题。如果项目漏洞太多,很容易遭受黑客攻击与用户信息泄露的风险。本文将结合3个典型案例,解释常见的安全漏洞及修

[转帖]理解开源安全中的林纳斯定律

https://linux.cn/article-15344-1.html 林纳斯定律Linus's Law即“只要有足够多的眼睛关注,任何漏洞都无处隐藏given enough eyeballs, all bugs are shallow”。那么林纳斯定律是如何应用于开源软件安全的呢? 这篇文章讨