开源组件已成为当今许多软件应用程序的基础组成部分，这也使得其在安全性方面受到越来越严格的审查。根据开源管理专家 WhiteSource 发布的一份新报告，可知 2019 年公开的开源软件漏洞数增加到了 6000 多个，增速接近 50% 。庆幸的是，有超过 85% 的开源漏洞已被披露，且提供了相应的修复程序。 遗憾的是，开源软件的漏洞信息并没有集中在一处发布，而是分散在数百种资源中。有时索引的编制并不正确，导致搜索特定数据成为了一项艰巨的挑战。 根据 WhiteSource 的数据库，在国家漏洞数据库（NVD）之外报告的所有开源漏洞中，只有 29％ 最终被登记在册。 此外研究人员比较了 2019 年漏洞排名前七的编程语言，然后将之与过去十年的数量进行了比较，结果发现历史基础最好的 C 语言占有最高的漏洞百分比。 PHP 的相对漏洞数量也大幅增加，但没有迹象表明其流行度有同样的提升。尽管 Python 在开源社区中的普及率持续上升，但其漏洞百分比仍相对较低。 报告还考虑了通用漏洞评分系统（CVSS）的数据，是否是衡量补漏优先级的最佳标准。 过去几年中，CVSS 已进行了多次更新，以期达成为可对所有组织和行业提供支持的客观可衡量标准。 然而在此过程中，CVSS 也改变了高严重性漏洞的定义。这意味着在 CVSS v2 标准下被定为 7.6 的漏洞，在 CVSS v3.0 标准下可能被评为 9.8 。 对于各个开源软件的开发团队来说，这意味着他们面临着更多的高严重性漏洞问题，导致现有超有 55% 的用户被高严重性或严重性问题所困扰。 报道作者总结道：列表中提及的开源项目漏洞，并不意味着其本质上是不安全的。作为用户，也应了解相关安全风险，并确保将开源依赖保持在最新状态。   （稿源：cnBeta，封面源自网络。）

据外媒报道，本周发表的一项新研究揭示了在过去 10 年里发现的安全漏洞中实际遭到利用的数量。据悉，这项被认为是迄今为止在同类研究中最广泛的研究发现，在 2009 年至 2018 年发现的 7.6 万个安全漏洞中只有 4183 个安全漏洞遭到利用。 更有趣的是，研究人员发现，在公共网站上发布概念验证(PoC)攻击代码与网络攻击尝试之间没有相关性。 研究小组表示，2009 年至 2018 年间，在 4183 个安全漏洞中只有一半的漏洞代码曾出现在公共网站上。 这意味着，没有公共 PoC 并不一定会阻止攻击者利用某些漏洞–一些黑客在需要的时候会利用自己的漏洞。 严重缺陷被利用的最多 研究指出，在外被利用的大多数漏洞都是安全漏洞，它们都具有很高的 CVSSv2 严重性评分（可以从 1 到 10，其中 10 分被分配给最危险和最容易遭到利用的漏洞）。 研究小组表示：“在所有被利用的漏洞中，将近一半的漏洞 CVSS 的得分是 9 分或更高。” 据悉，这项研究的核心数据由多种来源汇编而成的。例如，从 NIST 的国家漏洞数据库(NVD)中提取了所有安全漏洞、分数和漏洞特征的列表。而与在外发现的攻击有关数据则从防御工事实验室收集而来，有关攻击的证据从 SANS Internet Storm Center、Secureworks CTU、Alienvault 的 OSSIM 元数据和 reverse Labs 元数据中收集而来。关于编写的利用代码信息来自 Exploit DB、利用框架（Metasploit、D2 Security 的 Elliot Kit 和 Canvas Exploitation Framework）、Contagio、Reversing Labs 和 Secureworks CTU，研究团队发现在 2009 年到 2018 年间 PoCs 发布的数量有 9726 个。 此外，通过 Kenna Security，安全研究人员还获得了从扫描数百个公司网络的漏洞扫描器信息中提取的每个漏洞的流行程度。 未来 研究人员希望，他们这一安全漏洞研究将能帮助企业优先考虑其首先想到的漏洞修补以及那些最有可能遭到攻击的漏洞。 这份研究表明，一个漏洞的 CVSSv2 得分越高，它遭到严重利用的可能性就越大–无论利用代码公开与否。 另外，受到攻击的漏洞数量是 1/20，而不是以前的研究表明的 1/10。 此外，研究团队还希望他们的工作将能增强整个 CVSS 框架并提供关于特定漏洞可能会被利用的新信息，进而帮助那些依赖 CVSS 评分来评估和优先打补丁的组织提供更好的指导。   （稿源：cnBeta，封面源自网络。）

安全公司 FireEye 周二发布了一份安全报告《 2017 年 M-Trends 报告：前沿视角》，该报告结合了去年的研究调查，侧重于攻击趋势、防御能力和新兴趋势对全球区域（美洲、亚太地区、欧洲、中东、非洲地区）进行分析。报告内容指出国家支持的黑客行动越来越复杂和频繁，值得注意的是：金融网络犯罪团伙的技术能力变得相当先进，业务范围开始面向全球化、国与国的活动界限已不再存在。金融攻击者开始针对目标采用定制化后门并不断优化攻击手段增加隐蔽性。 虽然网络攻击的数量和复杂性明显增加，但网络防御能力却进展缓慢。公司应加大对安全防护的投入，及时进行风险评估，保持积极的防御的态势。去年，金融网络犯罪团伙在全球各地肆虐，2016 年 2 月，黑客使用 SWIFT 的客户端冒充孟加拉国央行，向美联储发送转账指令并成功转移 8,100 万美元。此外，在亚洲地区不断有黑客利用 ATM 漏洞盗取巨额现金。 原作者：Jurgen Kutscher ，译者：M帅帅 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。