奥斯特曼研究公司 (Osterman Research) 发布了在专有定制软件 (COTS) 中使用具有未修补漏洞的开源组件的测试结果。 该研究检查了五类应用程序——网络浏览器、电子邮件客户端、文件共享程序、即时通讯工具和在线会议平台。
结果是灾难性的——所有研究的应用程序都发现使用了带有未修补漏洞的开源代码,并且在 85% 的应用程序中,这些漏洞是严重的。 最多的问题出现在在线会议和电子邮件客户端的应用程序中。
在开源方面,发现的所有开源组件中有 30% 至少存在一个已知但未修补的漏洞。 大多数已识别的问题 (75.8%) 与使用过时版本的 Firefox 引擎有关。 位居第二的是 openssl (9.6%),位居第三的是 libav (8.3%)。
该报告没有详细说明审查的申请数量或审查了哪些具体产品。 但文中提到,除了20个申请外,所有申请都发现了关键问题,即结论是根据79个申请的分析得出的,不能被视为具有代表性的样本。 让我们回想一下,在 XNUMX 月份进行的一项类似研究中,得出的结论是,XNUMX% 的内置于代码中的第三方库从未更新过,过时的库代码会导致安全问题。
来源: opennet.ru