包含已知漏洞的开源代码被广泛使用

企业在大量使用开源代码,但在使用开源代码时他们很少对其进行安全检查,一个不可避免的结果是他们的软件项目使用的开源组件包含了已知的漏洞。提供源码托管服务的 Sonatype 公司估计,80%到90%的企业代码实际上是由开源组件构成,是从公开代码库直接导入。Sonatype分析了3000家机构的超过2.5万企业应用,发现一家企业每年下载了5000个不同的开源组件。年代最悠久的组件有最高的几率包含安全漏洞。修正安全漏洞将需要耗费大量资金。

文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-07-31 14:33:38

包含已知漏洞的开源代码被广泛使用的相关文章

美国政府拟立法改进物联网安全:禁止硬编码密码、已知漏洞必须修复

本文讲的是美国政府拟立法改进物联网安全:禁止硬编码密码.已知漏洞必须修复,美国参议院四位参议员Warner.Gardner.Wyden和Daines最近提交一项名为<物联网安全改进法案>(the Internet of Things Cybersecurity Improvement Act of 2017,简称IoT-CIA)的草拟法案,旨在加强物联网厂商对设备安全性的投入. 这项法案不是针对所有物联网设备,只是适用于美国政府内部使用的设备,因此不大可能会有大的反对意见,通过立法几率很大.而

数万网站仍在使用有已知漏洞的老旧 JavaScript 库

美国东北大学研究人员在对超过 133000 个网站分析时发现,有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库.研究人员早在 2014年进行研究时就曾提醒,应当注意由于在浏览器中加载老旧版本的 JavaScript 库(如 jQuery.AngularJS 框架)而导致的潜在安全风险. 正如他们在一篇新发表的论文中所强调的,在某些条件下,这些脆弱的库会变得极其危险,比如指向一个老旧的 jQuery 跨站脚本 bug ,这将允许攻击者借机注入恶意脚本. 他们查看了

已知漏洞隐患:数十万网站仍在使用老旧的 JavaScript 库

美国东北大学研究人员在对超过 13.3 万个网站进行分析后发现,竟然有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库.研究人员早在 2014 年就意识到了这点 -- 加载过时的 JavaScript 库,存在被黑客利用的潜在安全隐患(比如 jQuery 和浏览器 AngularJS 框架).他们在一篇新报告中指出,在适当的条件下,这些漏洞会变得极其危险,比如指向一个老旧的 jQuery 跨站脚本 bug(攻击者可借此向受害站点注入恶意脚本). 研究人员们随机查看

PS3破解遭遇难题黑客称索尼已修复所有已知漏洞

一位名叫KaKaRoTo(真名是Youness Alaoui)的黑客日前在他的Twitter上发表了他关于破解PS3的观点,他认为索尼新发布的固件已经把之前越狱(jailbreak)的破解方式彻底封杀了. "他们(索尼)之前犯下了错误,但不代表他们今后不会弥补这些错误.现在他们已经修复了已知的所有系统漏洞,但这并不意味着今后也不会被破解."KaKaRoTo这样讲到,是否他已经发现了什么可突破的地方呢? 但他之后在Twitter又接着写到:"在我成为众人焦点,自己有口难辩之前,

在已知某一平台硬件功率的情况下,计算android代码的总能耗

问题描述 在已知某一平台硬件功率的情况下,计算android代码的总能耗 如果已知一段开源代码 ,通过什么办法在计算出所消耗的能耗呢,或者说怎样看出每条代码对应调用了什么硬件和调用时间,有研究过的前辈么,求救 解决方案 调用了什么硬件是不能看到的因为Android基于java,java不能直接调用硬件,可以通过汇编语言.计算机组成原理和操作系统这些课程大概知道是怎么调用的.调用时间可以通过前后获取系统时间相减大概知道花了多少时间. 解决方案二: 这个还真挺偏的.我也想知道,同关注. 解决方案三:

开源代码中的安全隐患 要从DevOps的角度 进行6个方面的预防

各行各业的组织,无论规模大小,都会使用开源应用,眼下这种趋势有增无减.在开发阶段,将源代码嵌入软件中既经济.又高效.借助于其他资源,开发人员可以将更多的精力集中于组织的内部代码.但 DevSecOps 的问题不容忽视. 据GitHub调查,94%的受访者表示至少会时不时地使用开源应用,而81%的人则经常使用.实际上,82%的开发人员透露,所在单位接受使用开源软件,而84%的人被鼓励在应用中使用开源代码. 虽然使用开源代码 还需要在持续交付中确保安全 虽然开源部件可节约时间和成本,但其许可协议中均

已知思科ASA设备漏洞仍在其新版本中存在

近日,名为"Shadow Brokers(影子经纪人)"的黑客组织声称成功入侵了跟NSA相关的Equation Group(方程式组织)的计算机系统,并成功窃取到了大量的机密信息以及黑客工具.随后,"Shadow Brokers"黑客组织将60%的泄漏文件在网上进行了公布,其中就包含有针对多款网络设备的漏洞利用代码. 警惕已知思科ASA设备漏洞仍可被用在其新设备版本中 据悉,目前Shadow Brokers已经释放了大约300Mb的防火墙漏洞利用.植入和工具代码.而

CVE-2017-7494紧急预警:Samba蠕虫级提权漏洞,攻击代码已在网上扩散

本文讲的是CVE-2017-7494紧急预警:Samba蠕虫级提权漏洞,攻击代码已在网上扩散,昨天晚上,开源软件Samba官方发布安全公告,称刚刚修复了软件内一个已有七年之久的严重漏洞(CVE-2017-7494),可允许攻击者远程控制受影响的Linux和Unix机器. Samba是什么 Samba是计算设备的基石级协议SMB的开源实现,被广泛应用在Linux.Unix.IBM System 390.OpenVMS等各类操作系统中,提供文件共享和打印服务. 漏洞影响范围 自2010年3月1日后发

AgileEAS.NET SOA 中间件平台 5.2 发布说明-包含Silverlight及报表系统的开源代码下载

一.AgileEAS.NET SOA 中间件简介      AgileEAS.NET SOA 中间件平台是一款基于基于敏捷并行开发思想和Microsoft .Net构件(组件)开发技术而构建的一个快速开发应用平台.用于帮助中小型软件企业建立一条适合市场快速变化的开发团队,以达到节省开发成本.缩短开发时间,快速适应市场变化的目的.      AgileEAS.NET SOA中间件平台提供了敏捷快速开发软件工程的最佳实践,通过提供大量的基础支撑功能如IOC.ORM.SOA.分布式体系及敏捷并发开发方