奧斯特曼研究公司 (Osterman Research) 發布了在專有客製化軟體 (COTS) 中使用具有未修補漏洞的開源元件的測試結果。 該研究檢查了五類應用程式——網頁瀏覽器、電子郵件用戶端、文件共享程式、即時通訊工具和線上會議平台。
結果是災難性的——所有研究的應用程式都發現使用了帶有未修補漏洞的開源程式碼,並且在 85% 的應用程式中,這些漏洞是嚴重的。 最多的問題出現在線上會議和電子郵件用戶端的應用程式中。
在開源方面,發現的所有開源元件中有 30% 至少存在一個已知但未修補的漏洞。 大多數已識別的問題 (75.8%) 與使用過時版本的 Firefox 引擎有關。 位居第二的是 openssl (9.6%),位居第三的是 libav (8.3%)。
該報告沒有詳細說明審查的申請數量或審查了哪些具體產品。 但文中提到,除了20個申請外,所有申請都發現了關鍵問題,即結論是根據79個申請的分析得出的,不能被視為具有代表性的樣本。 讓我們回想一下,在 XNUMX 月進行的一項類似研究中,得出的結論是,XNUMX% 的內建在程式碼中的第三方程式庫從未更新過,過時的程式庫程式碼會導致安全問題。
來源: opennet.ru