遺憾的是,開源軟體的漏洞資訊並沒有集中在一處釋出,而是分散在數百種資源中。
開源元件已成為當今許多軟體應用程式的基礎組成部分,這也使得其在安全性方面受到越來越嚴格的審查。根據開源管理專家 WhiteSource 釋出的一份新報告,可知 2019 年公開的開源軟體漏洞數增加到了 6000 多個,增速接近 50% 。慶幸的是,有超過 85% 的開源漏洞已被披露,且提供了相應的修復程式。
遺憾的是,開源軟體的漏洞資訊並沒有集中在一處釋出,而是分散在數百種資源中。有時索引的編制並不正確,導致搜尋特定資料成為了一項艱鉅的挑戰。
根據 WhiteSource 的資料庫,在國家漏洞資料庫(NVD)之外報告的所有開源漏洞中,只有 29% 最終被登記在冊。
此外研究人員比較了 2019 年漏洞排名前七的程式語言,然後將之與過去十年的數量進行了比較,結果發現歷史基礎最好的 C 語言佔有最高的漏洞百分比。PHP 的相對漏洞數量也大幅增加,但沒有跡象表明其流行度有同樣的提升。儘管 Python 在開源社群中的普及率持續上升,但其漏洞百分比仍相對較低。
報告還考慮了通用漏洞評分系統(CVSS)的資料,是否是衡量補漏優先順序的最佳標準。
過去幾年中,CVSS 已進行了多次更新,以期達成為可對所有組織和行業提供支援的客觀可衡量標準。
然而在此過程中,CVSS 也改變了高嚴重性漏洞的定義。這意味著在 CVSS v2 標準下被定為 7.6 的漏洞,在 CVSS v3.0 標準下可能被評為 9.8 。對於各個開源軟體的開發團隊來說,這意味著他們面臨著更多的高嚴重性漏洞問題,導致現有超有 55% 的使用者被高嚴重性或嚴重性問題所困擾。
在本月的補丁星期二活動日上,微軟對所有受支援的 Windows 10 系統釋出了累積更新,並對 Edge、Internet Explorer 和其他元件進行了安全改進。在活動日期間,網路上意外曝光了存在於 SMBv3 協議中全新蠕蟲漏洞,為此今天微軟釋出了緊急更新對其進行了修復。
3 月 13 日訊息,徠卡相機微信公眾號遭遇惡意攻擊。如圖所示,該公眾號釋出了一些洗髮水、護膚品等資訊。對此徠卡相機官方微博釋出宣告,表示徠卡相機官方微信賬號遭到了惡意攻擊,並未經我司允許散佈不良資訊及不實言論,對關注徠卡的使用者造成的困惑和打擾,我們深表歉意。
光明日報:豈能借防疫之名隨意收集公民資訊
據報道,針對防疫中出現的非授權、超範圍採集使用個人資訊等問題,天津市委網信辦近日決定,在全市開展相關 App 違法違規收集使用個人資訊專項治理。此前,中央網信辦也釋出通知,明確要求為疫情防控收集的個人資訊,不得用於其他用途。
歐洲刑警組織逮捕了盜竊數百萬歐元的 SIM 交換攻擊黑客團伙
歐洲刑警組織在當地執法部門的幫助下,在歐洲各地進行了一系列逮捕行動,以打擊 SIM 卡交換攻擊。
歐洲刑警組織的歐洲網路犯罪中心(EC3),西班牙國家警察和西班牙國民警衛隊以“Operation Quinientos Dusim”的名義在貝尼多姆,格拉納達和巴利亞多利德逮捕了 12 名犯罪嫌疑人。 羅馬尼亞和奧地利的執法部門在“Operation Smart Cash.”下又逮捕了另外 14 名被指控的團伙成員。