上周五,服务器端安全可靠漏洞全面收购网络平台Zerodium正式宣布未来2-3月中止全面收购iOS安全可靠漏洞,因为在短期内递交的iOS安全可靠漏洞借助流程太少。那条新闻报道让很多安全可靠专业人士深感讶异,即便,iOS的安全可靠性曾是苹果引以为豪的最大噱头之一,5年前iOS的端口扫描安全可靠漏洞单价数十亿高达百亿美元,但近几年Android控制系统安全可靠性不断提高,安全可靠漏洞产品价格也扳平了iOS,现如今Android极点击安全可靠漏洞(无须使用者可视化便可借助)产品价格早已攀升至250亿美元,而iOS的类似于安全可靠漏洞产品价格“只有”200亿美元。
缅齐难题。
Bug之王
根据Veracode新一代正式发布的本年度开发工具安全可靠现况调查报告,全球所有应用开发工具中,70%都包涵最少一个开放源码标识符库引致的安全可靠瑕疵/安全可靠漏洞,其中Swift标识符库的开发工具瑕疵表面积(每一标识符库的瑕疵数目)早已超过了web安全可靠专业人士的“萨德基”——PHP。(右图)
Veracode的开发工具安全可靠情况调查报告表示,那些开放源码库(完全免费的封闭式标识符存储库,为开发者提供整套的插件“构筑块”)不但无所不在,而且存在风险。
分析检查和了85,000个插件中的351,000个内部库,发现开放源码库十分两极化。比如,绝大多数JavaScript插件包涵数十个开放源码库,有些甚至包涵1000数个不同的库。此外,绝大多数词汇都具有相同的核心理念库集。
调查报告说:“特别是JavaScript和PHP,基本上在每一插件中都有几个核心理念库。”
与其他开发工具一样,那些库也有bug。难题是,由于标识符F83E43Se,一般而言bug可能会影响数十个插件。
Veracode表示:“在当今基本上所有插件中,开放源码库都很重要,它使开发者可以通过快速添加基本功能来加快开发进度。” “实际上,如果没有那些库,使用开发工具进行创新基本上是不可能的。但是,缺乏如何正确使用开放源码库及必要的风险意识早已成为一个严重的难题。”
五大最脆弱词汇
根据调查报告,开放源码标识符库中bug最多的四个主要词汇是:Swift、.NET、Go和PHP(上图)。
其中Swift的bug表面积(7个)高居榜首,而PHP安全可靠漏洞则分布最广(覆盖近60%的标识符库)。由于Swift是Apple生态控制系统的专业开发词汇,因此虽然其bug表面积很高,但是分布并不算广泛。
.NET的bug分布百分比在这四个库中最低(不到10%),但其标识符库的数目是Swift的17倍以上。
Go包涵bug的库比例很高,接近PHP,但是平均每一标识符库的bug总数较低。与Go相比,PHP的每标识符库bug数目更高(6.5),bug表面积是后者的两倍。
不过在可借助PoC数目上,Swift的表现不算最糟糕,PHP依然是无可争议的“王者”:
最好的防御:及时更新
调查报告还发现跨站点脚本(XSS)是开放源码库中最常见的安全可靠漏洞类别,占比接近30%其次是不安全可靠的反序列化(23.5%)和访问控制入侵(20.3%),如右图所示:
“不安全可靠的反序列化(Insecure Deserialization)过去是自主开发插件中相对罕见的瑕疵,其排名快速上升令人不安,因为这类瑕疵可能导致执行意外的标识符路径,这意味着我们不打算使用的库的某些部分也可能会插入到其插件的执行路径中。”
数据还显示,由于级联的相互依赖关系,绝大多数有瑕疵的库最终都以标识符形式间接存在,因为开发者使用的开放源码库库很可能调用了另一个开放源码库的标识符。
“插件中47%的有瑕疵库都是可传递的,换句话说,它们不是由开发者直接引入的,而是由第一个被调用的库引入的(42%被直接引入,12%被间接引入)。这意味着开发者正在引入比预期更多的标识符,而且常常是有bug的标识符。”
好消息是,绝大多数最严重的流程安全可靠漏洞和bug都可通过更新解决(右图)。
“仅通过较小的版本更新就可以解决插件中绝大多数被引入的bug(将近75%);根据Veracode调查报告,bug修补通常不需要对主流程库进行升级,而且超过90%的OWASP TOP 10榜单中最严重的bug,今天都有可用补丁或更新。”
参考资料
Veracode开放源码开发工具安全可靠现况调查报告:
https://www.veracode.com/sites/default/files/pdf/resources/reports/state-of-software-security-open-source-edition-veracode-report.pdf
