WhiteSource después de más de 650 desarrolladores realizó una encuesta, y el NVD (Nartional vulnerabilidad de base de datos), los boletines de seguridad, base de datos de vulnerabilidades a través de la revisión por pares, seguimiento de incidencias y otros canales para recoger los datos de acabado dio a conocer un informe de investigación. El informe muestra que el número de vulnerabilidades de software de fuente abierta se describe en 2019 habían disparado a más de 6.000, un aumento de casi 50%.
Afortunadamente, el 85 por ciento de las vulnerabilidades se han descrito, y proporciona las correcciones apropiadas.
Sin embargo, el informe también señaló que, por desgracia, en última instancia, sólo el 84% de las conocidas lagunas de código abierto en el NVD. E información sobre la vulnerabilidad no se concentra en un comunicado de ubicación, pero dispersa en cientos de recursos. Por lo tanto, una vez que ocurre la situación incorrecta de indexación, que hará que la búsqueda de datos específicos se vuelve cada vez más difícil.
El informe también vulnerabilidad de código abierto no está en el 45% informado originalmente a la NVD, se notifican muchas vulnerabilidades en unos pocos meses después de la liberación de otros canales en el NVD. Todo código abierto informó vulnerabilidades, además de la NVD, sólo el 29% fueron finalmente registrados en el libro.
Además, los investigadores también lagunas en el año 2019 ocupó se compararon primeros lenguajes de programación de siete, y se comparan con la última década el número. Se encontró que estos tipos de lenguajes, la base histórica de la mejor lenguaje C representaron el mayor porcentaje de vulnerabilidades. El número relativo de vulnerabilidades PHP también aumentó significativamente, pero no hay ninguna indicación de que su popularidad tiene la misma actualización. El Python, a pesar de la popularidad de la lengua en la comunidad de código abierto sigue aumentando, pero el porcentaje de vulnerabilidades son todavía relativamente bajos.
Si, por otro lado, el informe también tiene en cuenta el sistema de puntuación vulnerabilidad común (Common Vulnerability Scoring System, CVSS) es una medida de mejores estándares de trampa prioridad de los datos. CVSS en los últimos años se ha actualizado varias veces con el fin de lograr como proporcionar apoyo a todas las organizaciones y criterios medibles objetivas de la industria. Sin embargo, en el proceso, sino que también cambió la definición de vulnerabilidad alta severidad. Por ejemplo, es que esto significa que después de al CVSS vulnerabilidad v2 fue designado como 7.6, en el estándar CVSS v3.0 podrían establecerse en 9,8, lo que significa que el equipo se le enfrenta con más alta gravedad del problema . Ahora, más del 55% de los usuarios tienen una alta severidad o gravedad del problema.
El informe predice que en 2020, el número de vulnerabilidades de software de fuente abierta seguirá creciendo. Pero mientras tanto, algunos de los planes para los sistemas de seguridad de código abierto están en constante avance.
Por último, los autores también llegaron a la conclusión de que "el punto más importante es que la lista de proyectos de código abierto han mencionado vulnerabilidades no significa que no son seguros. Sólo significa que como un proyecto de código abierto de usuario, es necesario comprender los riesgos de seguridad y asegúrese de mantener hasta la fecha dependencias de código abierto ".
El informe completo Dirección: https://resources.whitesourcesoftware.com/research-reports/the-state-of-open-source-vulnerabilties-2020