近日， 黑鸭软件 （ Black Duck Software ） 发布了开源安全与风险分析（OSSRA）年度报告，报告对 2018 年以来 1200 多个商业代码库的匿名数据进行了分析和研究。对当今的企业来说，开源软件、库和组件往往起着重要的作用。开源代码采用率高有许多原因，其中包括开源社区的许多程序员愿意为项目贡献时间、项目代码的透明性、以及比开发内部系统更少的实现时间等。

在黑鸭审查的所有代码库中，有 96% 包含了开源组件，而大多数没有开源代码的代码库其实包含不到 1000 个文件。在超过 1000 个文件的代码库中，开源代码的采用率高达 99%。

开源代码有着它的安全优势，但也存在着安全漏洞未修补的隐患，开发人员可能没意识到项目正在被安全漏洞影响。在报告审查的代码库中，至少包含一个漏洞的代码库占 60% ，这个数字比 2017 年统计的结果 78% 有所下降。

黑鸭认为，发现的漏洞有 40% 都是关键级的。“事实上，开源并不总是更安全。”报告指出，无论项目源码是专有的还是开源的，都可能因为漏洞的存在，安全性变得薄弱。项目人员应该及时加以识别和修补这些漏洞。

报告中发现漏洞的平均“年龄”为 6.6 岁。其中，最老的 CVE-2000-0388 是 FreeBSD libmytinfo 库中的缓冲区溢出漏洞，在 28 年前被披露。报告结果显示，有 43% 的代码库包含一个超过 10 年的 bug。这表明不少企业可能没意识到开源的用处，也没有对组件目录进行系统管理，这些软件没有打新的补丁，更容易被攻击。

“一般只有少数开源漏洞，比如那些影响 ApacheStruts 或 OpenSSL 的漏洞，有可能被广泛利用。”研究人员表示，项目组织应该把他们的开源漏洞管理和缓解工作的重点放在 cvss 评分和漏洞的可用性上，在关注 “0day” 的同时，也应该关注开源组件的生命周期。

来源：开源中国

更多资讯

黑客届“奥斯卡”来了！国际安全技术大牛 5 月底齐聚北京

随着网络安全问题越来越引发全球关注，对黑客、安全漏洞等话题感兴趣的极客和技术爱好者们将在北京迎来盛会。有黑客界“奥斯卡”之称的 DEF CON 近日宣布，即将举办 DEF CON CHINA Baidu 安全行业国际峰会，5月31日至6月2日，数千名全球安全技术大牛将齐聚北京 751D·PARK，同台切磋技艺。

来源： 北京日报客户端
详情： http://t.cn/ESl6YeJ

还在随便下载软件？CNCERT 公布 116 个高危恶意程序

2019 年 2 月期间，国家互联网应急中心（简称“CNCERT”）在全国范围内继续开展计算机恶意程序传播渠道安全监测工作，对已备案的计算机软件下载站进行安全监测，判定计算机恶意程序 216 个，其中高危恶意程序 116 个，涉及 8 个省份的 11 家软件下载站及应用商店。2019 年 4 月下旬，CNCERT 将本次监测结果形成报告对外发布。

来源： FreeBuf.COM

详情： http://t.cn/ESl6mGB

阿桑奇在英被判 50 周监禁处罚

据英国“天空新闻”刚刚消息，维基解密创始人阿桑奇在英被判50个星期监禁。“你曾有一个选择，你选择的行动就是犯罪，”该法院法官德博拉·泰勒在法庭上说，“你没有心甘情愿地投向……你不会自愿到法院来。”随后，泰勒宣布阿桑奇被判“50 周监禁”。

来源： 环球科技

详情： http://t.cn/ESlXhc5

Windows 10 的安全功能使得基于 Chromium 的浏览器运行慢了三倍多

正如 Vivaldi 开发人员所揭示的那样，Windows 10 中内置的安全功能使基于 Chromium 的浏览器在测试环境中的速度降低了三倍多。Yngve Pettersen 在博客文章中解释说，开发人员在将 Windows 10 测试人员添加到 Windows 单元测试集群时发现了这个性能问题。

来源： cnBeta.COM

详情： http://t.cn/ESlXLjD

（信息来源于网络，安华金和搜集整理）