日前，Apache 軟件基金會(huì)(ASF)發(fā)布了 2020 年安全報(bào)告。 Apache 軟件基金會(huì)成立于 2002 年，由志愿者組成，其安全委員會(huì)監(jiān)督并協(xié)調(diào)所有 340 多個(gè) Apache 項(xiàng)目中的漏洞處理。根據(jù)該報(bào)告，Apache 項(xiàng)目的安全問(wèn)題在 2020 年顯著增加。

根據(jù)其報(bào)告，2020 年 Apache 軟件基金會(huì)從收到的 18000 封電子郵件中，對(duì) 370 多個(gè)與 ASF 項(xiàng)目有關(guān)的漏洞報(bào)告進(jìn)行了分類，從而解決了 151 個(gè) CVE 問(wèn)題。與 2019 年相比，處理的非垃圾郵件數(shù)量增長(zhǎng)了 53%，安全漏洞數(shù)量增長(zhǎng)了 13%，CVE 數(shù)量增長(zhǎng)了 24%。下圖是 2019 年報(bào)告數(shù)據(jù)。

在這些問(wèn)題中，值得關(guān)注的包括：2 月份的 CVE-2020-1938，又名 “Ghostcat”;5 月份的 CVE-2017-5638，Apache Struts 2 的遠(yuǎn)程命令執(zhí)行漏洞;7月份的 CVE-2020-9497 和 CVE-2020-9498，用戶連接到惡意或受損的 RDP 服務(wù)器可能導(dǎo)致內(nèi)存泄漏或遠(yuǎn)程代碼執(zhí)行;8 月份的 CVE-2019-0230，該漏洞導(dǎo)致 Apache Struts 可能被攻擊者注入 OGNL(Object-Graph Navigation Language)表達(dá)式以執(zhí)行任意代碼;CVE-2019-0235，Apache OFBiz 的 CSRF問(wèn)題;CVE-2020-13951，Apache OpenMeetings 的 DoS 問(wèn)題;CVE-2020-17518 和 CVE-2020-17519，Apache Flink 的任意讀/寫問(wèn)題。

不過(guò)，正如其在報(bào)告結(jié)尾中所說(shuō)，Apache 項(xiàng)目仍然值得信賴。“Apache Software Foundation projects are highly diverse and independent. They have different languages, communities, management, and security models. However one of the things every project has in common is a consistent process for how reported security issues are handled. The ASF Security Committee works closely with the project teams, communities, and reporters to ensure that issues get handled quickly and correctly. This responsible oversight is a principle of The Apache Way and helps ensure Apache software is stable and can be trusted ”。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Apache 軟件基金會(huì) 2020 年安全報(bào)告發(fā)布，安全問(wèn)題顯著增加

本文地址：https://www.oschina.net/news/127837/apache-security-report-2020