60% 企业代码库包含开源漏洞;施密特将卸任 Alphabet 董事

2019 年 5 月 1 日 技术最前线

(给技术最前线加星标,每天看技术热点)


转自:开源中国、solidot、cnBeta、腾讯科技、快科技等



【技术资讯】



0、60% 的企业代码库包含开源漏洞


近日,Synopsys 公司的黑鸭软件(Black Duck Software)发布了开源安全与风险分析(OSSRA)年度报告,报告对 2018 年以来 1200 多个商业代码库的匿名数据进行了分析和研究。对当今的企业来说,开源软件、库和组件往往起着重要的作用。开源代码采用率高有许多原因,其中包括开源社区的许多程序员愿意为项目贡献时间、项目代码的透明性、以及比开发内部系统更少的实现时间等。


在黑鸭审查的所有代码库中,有 96% 包含了开源组件,而大多数没有开源代码的代码库其实包含不到 1000 个文件。在超过 1000 个文件的代码库中,开源代码的采用率高达 99%。


开源代码有着它的安全优势,但也存在着安全漏洞未修补的隐患,开发人员可能没意识到项目正在被安全漏洞影响。在报告审查的代码库中,至少包含一个漏洞的代码库占 60% ,这个数字比 2017 年统计的结果 78% 有所下降。


黑鸭认为,发现的漏洞有 40% 都是关键级的。“事实上,开源并不总是更安全。”报告指出,无论项目源码是专有的还是开源的,都可能因为漏洞的存在,安全性变得薄弱。项目人员应该及时加以识别和修补这些漏洞。


报告中发现漏洞的平均“年龄”为 6.6 岁。其中,最老的 CVE-2000-0388 是 FreeBSD libmytinfo 库中的缓冲区溢出漏洞,在 28 年前被披露。报告结果显示,有 43% 的代码库包含一个超过 10 年的 bug。这表明不少企业可能没意识到开源的用处,也没有对组件目录进行系统管理,这些软件没有打新的补丁,更容易被攻击。


“一般只有少数开源漏洞,比如那些影响 ApacheStruts 或 OpenSSL 的漏洞,有可能被广泛利用。”研究人员表示,项目组织应该把他们的开源漏洞管理和缓解工作的重点放在 cvss 评分和漏洞的可用性上,在关注 “0day” 的同时,也应该关注开源组件的生命周期。



1、Node 12.1.0 发布,ICU 升级


Node 12.1.0 发布了,此版本主要更新内容如下:


  • ICU 更新至 64.2。新增了对日本年号“令和”(Reiwa)的支持

  • 修复了在使用非默认语言环境调用 new Date().toLocaleString() 时,ICU 中影响 Node.js 12.0.0 的 bug



2、ThinkPHP 5.1.36 LTS 版本发布


ThinkPHP 5.1.36 LTS 版本发布,本次更新为常规更新,主要更新如下:


  • 修正chunk方法一处异常抛出的错误

  • 修正模型输出的visible

  • 改进环境变量加载



【业界资讯】



0、Eric Schmidt 将不再担任 Alphabet 董事


Google 母公司 Alphabet 宣布,Eric Schmidt 将不再担任董事。Eric Schmidt 曾就任 Sun 的 CTO 和企业总裁,2001 年在 Google 担任 CEO,并一直任职到 2011 年,之后将 CEO 一职交给公司联合创始人 Larry Page 自己改任执行主席(所谓执行主席是指既是董事会主席又参与公司的日常管理),在 Google 变成 Alphabet 之后继续担任执行主席一职,2018 年 1 月卸任。Alphabet 在声明中称,Eric Schmidt 将继续担任公司技术顾问。



1、彭博社指控华为网络设备有后门,但所谓的后门只不过是普通漏洞


彭博社援引内部文件和知情人士的消息报道,欧洲最大的移动运营商沃达丰于 2009 年到 2011 年之间在华为的路由器和宽带网络网关等网络设备中发现了后门,利用这些后门,华为能未经授权访问沃达丰在意大利的固线网络。这一报道再次引发了争议,不仅沃达丰公开表达了异议,其他人也对彭博社的可信度再次提出了质疑。此前它的中国芯片后门未提供真正确凿的证据。


沃达丰回应称,它发现的是安全漏洞,已经被华为修复,漏洞并不能被远程访问,因此无法被华为利用。沃达丰称,路由器漏洞是在 2011 年发现和修复的,宽带网关漏洞是在 2012 年发现和修复的。


彭博社报道的正确性取决于漏洞和后门的区别,漏洞是无意的代码错误,允许未经授权访问;后门则是有意的编码去允许未经授权访问。彭博社描述的所谓后门实际上是常见的漏洞,没有任何迹象显示这是华为有意植入的后门。



2、苹果以维修产品容易伤害消费者自身为由阻挠“维修权”立法


苹果公司正在向加利福尼亚州的消费者警告:试图维修自己的设备可能会伤害自己。在过去的几个星期里,一位代表主要科技公司的贸易组织ComTIA的苹果代表和说客一直在加利福尼亚与立法者会面,目的是取消“维修权”立法的权利,该法案使客户更容易修理自己的电子产品。


至少两人已与隐私和消费者保护委员会的成员会面,该委员会今天下午举行了维修权法案会议。 苹果告诉立法者,在尝试修理期间,客户可能会因意外刺破设备中的电池而受伤。


游说者带来了一个iPhone参加会议,并向立法者和他们的立法助手展示了手机的内部组件,并表示如果不正确地拆解,那些试图修理自己的iPhone的消费者可能会因刺破锂离子电池而伤害自己。



苹果一直在游说反对“修复权”在多州立法,此类立法将要求像苹果这样的公司提供维修零件、工具,并向公众提供维修信息。


鉴于小型专有的定制组件和大量的粘合剂,苹果设备通常难以修复,修复网站iFixit为苹果产品提供了普遍较低的修复分数。


尽管如此,这并没有阻止成千上万的小型独立维修店进行iPhone维修。消费者权益组织美国PIRG维修权运动主管Nathan Proctor表示,以安全问题来阻挠让用户自行修复设备“显然是荒谬的”。



觉得这些资讯有帮助?请转发给更多人

关注 技术最前线 加星标看 IT 要闻

最新业界资讯,我在看❤️

登录查看更多
0

相关内容

Alphabet is mostly a collection of companies. This newer Google is a bit slimmed down, with the companies that are pretty far afield of our main internet products contained in Alphabet instead.
abc.xyz/
AI创新者:破解项目绩效的密码
专知会员服务
33+阅读 · 2020年6月21日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
【资源】100+本免费数据科学书
专知会员服务
107+阅读 · 2020年3月17日
49篇ICLR2020高分「图机器学习GML」接受论文及代码
专知会员服务
61+阅读 · 2020年1月18日
超级盘点 | Github年终各大排行榜(内附开源项目学习资源)
七月在线实验室
19+阅读 · 2018年12月19日
30岁还在敲代码,等被公司请走吗?
Python程序员
4+阅读 · 2018年9月10日
Python 杠上 Java、C/C++,赢面有几成?
CSDN
6+阅读 · 2018年4月12日
号称“开发者神器”的GitHub,到底该怎么用?
算法与数据结构
4+阅读 · 2018年3月29日
Tensor Flow、Caffe、Torch共同之处:敞开的漏洞!
10个深度学习软件的安装指南(附代码)
数据派THU
17+阅读 · 2017年11月18日
Arxiv
101+阅读 · 2020年3月4日
A Survey on Deep Transfer Learning
Arxiv
11+阅读 · 2018年8月6日
Arxiv
6+阅读 · 2018年1月14日
VIP会员
Top
微信扫码咨询专知VIP会员