بر اساس گزارش جدید منتشرشده توسط شرکت مدیریت ریسک RiskSense، در سال ۲۰۱۹ میلادی نزدیک به هزار آسیبپذیری در پروژههای متنباز محبوب شناسایی شده که این رقم نسبت به سال گذشته، بیش از دو برابر شده است. به گفتهی RiskSense، تعداد آسیبپذیریهای شناساییشده در سال ۲۰۱۹، ۹۶۸ مورد است که این رقم در مقایسه با ۴۲۱ آسیبپذیری گزارششده در سال ۲۰۱۸، ۱۳۰ درصد افزایش یافته است. همچنین، در مجموع ۱۷۹ آسیبپذیری در سه ماههی اول سال ۲۰۲۰ کشف شده که ۵ مورد از آنها weaponized شدهاند، یعنی کد بهرهبرداری از آنها بهصورت عمومی وجود دارد.
به گفتهی شرکت RiskSense، با تجزیه و تحلیل ۵۴ پروژهی متنباز در طی سالهای ۲۰۱۵ و ماه مارس سال ۲۰۲۰، نزدیک به ۲۷۰۰ آسیبپذیری شناسایی شده است. بهطور کلی، سرور اتوماسیون Jenkins و MySQL با بیش از ۶۰۰ نقص در هر کدام، بهعنوان آسیبپذیرترین پروژهها در این بازهی زمانی معرفی شدهاند. برای هر یک از این نرمافزارها، ۱۵ آسیبپذیری weaponized شدهاند.
در برخی از پروژهها مانندVagrant ، Alfresco و Artifactory، تعداد کمی آسیبپذیری شناسایی شده است، اما میزان weaponization آنها بالا است. بهعنوان مثال، تنها ۹ آسیبپذیری در Vagrant و Alfresco گزارش شده، اما به ترتیب، ۶ و ۳ مورد از این آسیبپذیریها weaponized شدهاند.
این شرکت همچنین مدت زمان اضافهشدن این آسیبپذیریها به بانک اطلاعاتی آسیبپذیری را بررسی کرده است. طبق گزارشها، میانگین مدت زمان اضافهشدن آسیبپذیریهای شناساییشده به بانک اطلاعاتی آسیبپذیری، ۵۴ روز است، اما اضافهشدن ۱۱۹ آسیبپذیری به این بانک اطلاعاتی بیش از یک سال طول کشیده است. بهعنوان مثال، آسیبپذیری بحرانی که PostgreSQL را تحت تأثیر قرار میدهد، پس از ۱۸۱۷ روز به بانک اطلاعاتی آسیبپذیری اضافه شد که طولانیترین زمان گزارششده توسط RiskSense است.
بهطور کلی، در میان آسیبپذیریها، افشای اطلاعات و پس از آن، به ترتیب اسکریپتنویسی میانوبگاهی و اعتبارسنجی نامناسب پارامترهای ورودی بیشترین درصد را به خود اختصاص دادهاند. این درحالی است که به گفتهی RiskSense، آسیبپذیریهای اسکریپتنویسی میانوبگاهی و اعتبارسنجی نامناسب پارامترهای ورودی بیشتر weaponized شدهاند.
از سوی دیگر، برخی از آسیبپذیریها که کمتر رایج هستند، در پویشهای فعال بسیار محبوبند. بهعنوان مثال، آسیبپذیریهای Deserialization (۲۸ CVE)، تزریق کد (۱۶ CVE)، Error Handling (۲ CVE) و Container Errors (۱ CVE) در دنیای واقعی بسیار مورد بهرهبرداری قرار میگیرند. در نهایت، در این گزارش بر دهها آسیبپذیری با خطر بالا که نرمافزارهای متنبازی همچونJenkins ،JBoss ، Apache Tomcat،Docker ،Kubernetes ،Elasticsearch ، Magento و Git را تحت تأثیر قرار میدهند، تأکید شده است.
