O total de vulnerabilidades comuns e vulnerabilidades de exposição (CVEs) atingiu 968 no ano passado, ante 421 em 2018

background-1900329_1280-1.jpg

O número de vulnerabilidades de software de código aberto mais que dobrou no ano passado na comparação com 2018, mostra um novo relatório da RiskSense, empresa especializada no gerenciamento de vulnerabilidades baseadas em risco de espectro.

O total de vulnerabilidades comuns e vulnerabilidades de exposição (CVEs) atingiu 968 no ano passado, ante 421 em 2018, um aumento de 130%. As CVEs também permaneceram em níveis historicamente elevados nos primeiros três meses deste ano, sugerindo que essa é uma tendência de longo prazo.

O relatório também revela que, em média, demoram 54 dias para que as vulnerabilidades de software de código aberto sejam adicionadas ao National Vulnerability Database (NVD), após a divulgação pública. Esses atrasos significam que as organizações geralmente são expostas a sérios riscos de segurança por quase dois meses. Os atrasos foram observados em todas as gravidades de vulnerabilidades, incluindo aquelas classificadas como “críticas” e aquelas consideradas de defesa.

Os projetos de software de código aberto que tiveram mais CVEs foram aqueles que envolviam o servidor de automação Jenkins (646) e MySQL (624), cada um dos quais com 15 vulnerabilidades de defesa. Enquanto o Vagrant da HashiCorp teve nove CVEs, uma proporção muito alta (seis) foi de defesa. Outros projetos que tinham vulnerabilidades envolveram o Apache Tomcat, Magento, Kubernetes, Elasticsearch e JBoss.

As fraquezas de script entre sites foram a segunda forma mais comum de vulnerabilidade e a com mais incidência de defesa. Isso foi seguido por questões envolvendo validação de entrada, que foi a terceira brecha mais comum. Além disso, o estudo mostrou que algumas fraquezas, como problemas de “desserialização” (28) e injeções de código (16), que, embora fossem menos comuns, permaneciam muito populares em campanhas de ataque ativas.

O relatório observa que, embora o código-fonte aberto seja frequentemente considerado mais seguro que o software comercial, uma vez que é submetido a análises de terceiros para encontrar problemas, os dados revelam que as vulnerabilidades desses softwares estão em alta e podem ser um ponto cego para muitas organizações.

Fonte: CISO Advisor (https://www.cisoadvisor.com.br/vulnerabilidades-de-software-de-codigo-aberto-sobem-130-em-2019/)