大多数开源都有安全缺陷
由于不确定性,CIO的一半没有Brexit计划
电子书买家很快从Apple价格定价案例获得结算付款
四个顶级创新者离开思科
Equinix上衣全球覆盖领导人覆盖范围和连接场所
超过四分之一的中小企业员工缺乏网络威胁培训
Salesforce也出价了LinkedIn,但丢失了微软
美国政府旨在干预爱尔兰数据保护案
澳大利亚政府ICT在火灾下支出
动态365在Microsoft UK Datentre中加入Azure和Office 365
Oracle如何将其IAAS与AWS差异
Superfast宽带和数字大使泄露劳工宣言的计划
苏格兰政府推出数字战略
虽然大多数背部自动驾驶汽车,在美国的72%。说驾驶也必须保留
Microsoft在Office 2016首次升级时开始时钟滴答
微软在Trello和Asana带来了新的Planner应用程序
Apple在WWDC 2016上会轻弹Android-to-iPhone交换机吗?
大多数英国公司未准备服务提供商故障
智能手机应用可以帮助治疗焦虑,大学研究表演
Facebook的视频评论可以绘制年轻用户
Google Fiber将通过获取媒体扫描来添加城市覆盖和无线
SERCO使用人力资源技术削减招聘票据
ICO报告数据违规和罚款的记录数
沃尔沃合作伙伴谷歌开发了汽车的Android
免费网络软件可能会从根本上改变路由方式
Hadoop的数据科学在Danske Bank证明了价值
iPhone即将通过思科的帮助进入企业
SAP S / 4 HANA在APAC中获得牵引力
英特尔面临着新的ARM芯片的服务器市场挑战
没有更多的赎金扩大了容量
更新:黑客将9.3米美国患者记录出售
WWDC:12 ios 10功能您可能不知道
它外包在北斗中挺身而出
随着僵尸网络推出,巨大的DDOS攻击达到记录水平
Martin Kuppinger说,认知安全是未来的未来
数据违反了英国公司的市场价值,研究表演
特雷泽之旅:从纯粹到多频道
忘记指纹;虹膜扫描可以验证移动支付
这是a.i的方式。即将让你的车真的很聪明
大多数英国企业在黑暗中关于关键的DNS基础设施
报告说,爱立信今年夏天将在今年夏天休息3,000
玩具r美国为商店员工推出平板电脑
苹果否认黑客持有数百万iPhone,iCloud账户赎金
随着投资申报截止措施,挤满了500万美元的股票注射或查找买家
使用Wi-Fi频道,紧张局势在LTE上升
在宏碁,华硕,联想,戴尔和惠普电脑上的Bloatware可以让您在10分钟内获得PWNED
来自世界经济论坛的十大新兴技术
亚马逊在危险化学品料上有两次罚款
这就是为什么谷歌自动驾驶汽车技术需要更多的工作
数字时代商业模式的信息安全密钥
您的位置:首页 >产品 > 商业评论 >

大多数开源都有安全缺陷

2021-07-09 11:44:19 [来源]:

对黑鸭2017开源安全和风险分析(OSSRA)进行的软件审计发现,金融应用平均有52个开源漏洞。

黑鸭的开源研究中心(Cosri)分析了2016年审计的1,071份申请。

审计报告称,所有行业的96%的申请占开源的开放来源和大部分都容易受到开源安全问题的影响。

总体而言,60%的申请审计包含高风险漏洞。零售和电子商务行业具有高风险开放源漏洞的应用最高,83%的审计应用程序含有高风险漏洞。

Chris Fearon是Cosri的安全研究组织的Black Dute开源安全研究组主任,说:“COSRI分析的结果清楚地表明,每个行业的组织都有很长的路要走,以便在他们管理开源方面有效。”

Black Duck表示,每个版本的Linux,PHP,Ruby在Rails和MS.NET中包含高风险漏洞。

最近在云本机计算论坛上的演示文稿,它权衡开源是否比商业软件更为安全,突出了许多常见的漏洞。例如,Heartbled是由OpenSSL代码中的缓冲区溢出引起的。ShellShock是Linux Bash(Bourne再次壳牌)脚本语言的安全缺陷。这个特殊的缺陷存在于Linux Torvalds,Linux创作者的原始代码中,1991年提出了尚未发现和修补的原因。

与商业软件不同,如果更新自动“推送”向用户,则开源具有“拉”支持模型。这意味着用户负责跟踪漏洞以及它们使用的开源的修复和更新。

黑鸭首席执行官娄世利说:“开源漏洞的利用是大多数公司拥有的最大的应用安全风险。”

在审计的应用程序中也发现开源许可冲突普遍存在。超过85%的分析应用包含具有许可证挑战的开源组件,称为黑鸭。

大多数开源组件由大约2,500名已知的开源许可证的控制,如果识别组件本身,则可以跟踪和管理许可证义务,但它说。

但黑鸭发现,扫描的53%的应用程序有未知的许可证,这意味着没有人有权从软件的创建者修改或共享代码。

没有可识别许可条款的组件是有问题的。如果软件没有许可证,则通常意味着没有人可以从软件的创建者权限使用,修改或共享它。Creative Work,包括代码,截至默认是独家版权,默认情况下,黑鸭子说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。