编程世界需要应对每年不断增加的数据泄露和编码漏洞。尽管人们一直在努力完善编码语言和程序，但程序员总是会落在好或坏的两边，这意味着黑帽编码人员不断寻找软件和系统中的弱点。虽然开源安全软件可以帮助捕获漏洞，但安全编程软件的有效性取决于将其实施到软件开发生命周期中时。

即使使用最新的工具，程序员、企业和个人也需要认识到早期检测的必要性。随着漏洞的增加，软件开发人员必须不断更新他们对当前和最普遍的威胁以及用于检测这些威胁的工具的了解。企业和编码专家应该了解流行的编码工具和语言面临的持续威胁，包括容易出现OSS的10大漏洞。

如何查找开源软件安全漏洞

OSS和云安全漏洞正在上升。OSS的本质使其容易受到漏洞和攻击。虽然大多数创建开源材料的开发人员并不着手开发易受攻击的程序，但有时，个人的技能水平不允许复杂的编程知识。此外，开源程序的性质允许社区编辑，包括可疑的参与者。

无论开放源码软件中的漏洞是如何产生的，不可否认的是，在目前存在的快速开发环境中，这种软件的必要性。企业和开发人员必须学会应对进一步限制的最后期限，以保持在现有市场中的存在。因此，专业人员必须整合漏洞扫描程序和工具，例如国家漏洞数据库，以便在SDLC早期清除各种类型的安全漏洞，以遏制和缓解未来的问题或威胁。

在讨论对项目开发的现有威胁并识别当前的OSS漏洞时，有成千上万的漏洞，这就是为什么分析工具对任何项目都至关重要。在存在的数千个漏洞中，这10个漏洞仍然是过去需要注意的开源安全漏洞的顶部。

1. Lodash

Lodash是一个流行的JavaScript库，它使编码更容易。它通过为几个不同的进程和函数提供模块化方法，帮助程序员处理对象、数字、字符串、数组等，包括：

• 操作和测试值
• 迭代对象、数组和字符串
• 创建复合函数

由于开源库及其模块化格式的多功能性，它每天都被无数程序员使用。不幸的是，4.17.2 之前的一些早期版本在使用 _.zipObjectDeep 时包含原型污染安全问题。该威胁可能允许攻击者使用 Object.prototype 来泄露敏感信息、更改或操作数据，或者合并拒绝服务功能。

最新版本的Lodash似乎已经解决了这个问题，但是使用旧版本的程序员需要意识到潜在的威胁。合法的漏洞扫描程序应该在SDLC的早期突出潜在的财产污染问题，因为它们是一个高安全性的问题。

2. FasterXML jackson-databind

FasterXML jackson-databind 是一个用于基本数据绑定或映射功能的工具，允许将 JSON 内容读取到 JSON 树和 Java 对象中，并将 Java 对象和树编写为 JSON。不幸的是，2.9.10.6 之前的 2.x 版本包含与 Anteros-DBCP 相关的漏洞，这基本上导致键入和序列化小工具及其交互的处理不当。

序列化 — 将对象转换为字节流以存储或传输到文件、数据库或内存中的过程 — 是 Java 开发人员中一个完善的过程。不幸的是，许多程序员注意到序列化问题，错误和漏洞的增加。

当涉及到Faster-XML jackson-databind问题时，开发人员注意到早期版本可能会受到序列化副作用的影响，最明显的是创建恶意操作。这些不利影响可能会使代码和程序容易受到远程代码执行或 DoS 攻击，从而可能暴露敏感数据。

3. HtmlUnit

作为Java程序的无GUI浏览器，HtmlUnit允许程序员使用API填写表单，调用页面，单击链接等。该工具对HTML文档进行建模，本质上充当“普通”浏览器，这可能是有利的。

不幸的是，易受攻击的HtmlUnit版本（在2.37.0之前存在的版本）包含代码执行问题。例如，在初始化 Rhino 引擎时，该程序可能会为恶意 JavaScript 代码提供执行任意 Java 代码的机会。安全问题经常发生在基于Android的应用程序上，因为Android特定的Rhino引擎初始化在早期版本中不正确。

虽然漏洞利用可能导致重大问题，但HtmlUnit主要用于测试程序或项目。更高版本的OSS已经纠正了这个漏洞。感兴趣的程序员目前可以在GitHub上找到修复或更新的版本。

4. Handlebars

作为一个胡子模板语言扩展，Handlebars是无逻辑的，允许程序员将代码和视图分开，以获得更轻松的体验。OSS是一个流行的开源项目，每周下载量达数百万次。OSS如此受欢迎和炙手可热的一个方面是社区支持和维护它。

不幸的是，早期版本的 Handlebars（4.5.3 之前和 3.0.8 之前的 4.x）包含任意代码执行安全威胁。据专家介绍，这些早期迭代中的查找帮助程序未正确验证模板。糟糕的审查允许恶意行为者通过提交的模板运行任意代码。使用该代码，Handlebars有效地允许跨站点脚本 - 这是一种注入攻击，允许参与者以可信来源的名义访问敏感数据，Cookie和会话令牌 - 在服务器或受害者的浏览器上。XSS攻击也可能允许重写HTML内容。

5. HTTP代理

HTTP 代理是一种内容筛选器，用于检查流量以识别可疑或恶意内容，通常是格式错误的内容或间谍软件。程序员可以配置过滤器，以便只有符合 RFC 规范的内容才能通过。

作为可编程代理库，HTTP代理有助于实现负载均衡器，反向代理和其他组件;它还支持WebSockets。OSS 每周下载量达数百万次，依赖量达数千次，是顶级库之一。遗憾的是，1.18.1 更新之前的版本容易受到 DoS 攻击。长时间处理的请求会触发ERR_HTTP_HEADERS_SENT未处理的异常，从而导致代理服务器崩溃。这通常仅在使用函数 proxyReq.setHeader 发送请求时发生。

该漏洞最初以前缀 WS 而不是更标准的 CVE 列出，因为“常见漏洞和披露”列表最初未列出该漏洞，NVD 也未列出该漏洞。没有该漏洞表示在搜索代码漏洞时需要使用多个数据集。可靠的漏洞扫描程序应使用各种数据库来确保进行最新和彻底的扫描。

6. 解压

为了使存档的提取变得简单，解压缩是一个相对较小的操作系统项目，旨在使编码更易于访问和更高效。虽然很流行，但该项目的早期版本（4.2.1之前的版本）允许一个关键的任意文件写入漏洞。该漏洞暴露了系统，允许恶意玩家使用../ 在文件名中写入或覆盖系统中的任何文件夹。解压缩的原始版本没有阻止通过相对路径提取文件，这为漏洞利用打开了大门。

通过一个简单而有价值的工具，这个漏洞造成的损害程度提醒人们注意漏洞管理的重要性，特别是在使用OSS并从中受益时。值得庆幸的是，更高版本的解压缩纠正了这个问题，用户可以再次将其合并到他们的项目中。在Web和软件开发中，关键是永远不要太熟悉任何工具。

7. XStream

作为一个开源库，XStream 执行 XML 到 Java 序列化，反之亦然。OSS的典型用途包括配置、持久化、传输和单元测试。该库是最受欢迎的库之一，存在于许多基于Java的开源Web应用程序中。

遗憾的是，该库的早期版本包含漏洞，包括远程执行代码问题。从本质上讲，在取消编组时，已处理的流可能包含容易受到操纵的类型信息，从而使攻击者能够替换或注入能够执行任意shell命令的对象。

该漏洞仅影响安全框架的默认黑名单，而不影响白名单。任何使用默认值的程序员都应确保他们使用更新的版本1.4.14或更高版本。使用最新版本的 OSS 通常可以缓解重大问题。但是，谨慎操作，承诺使用漏洞扫描程序，并在整个SDLC中纳入安全检查是缓解大多数潜在威胁的唯一方法。

8. Netty

在处理需要快节奏开发环境的大型项目时，大多数开发人员将在称为Netty的事件驱动的异步网络应用程序框架中工作。OSS 可以管理可维护的高性能协议服务器和客户端。与UDP和TCP套接字服务器一样，客户端和服务器框架允许简化和简化的网络编程方法。

易受攻击的Netty版本（4.1x，4.1.46之前）允许恶意行为者有机会利用系统。通过向服务器发送相当大的 ZlibEncodeed 字节流，攻击者迫使系统将所有内存重新分配给解码流，实质上是将所有可用内存分配给单个解码器。更高版本（4.1.46 及更高版本）修复了此漏洞。

9. Spring

Spring是Java应用程序的流行开发框架。它主要以其轻巧和模块化设计而闻名，允许直接创建功能强大且坚固的应用程序。其中一个更流行的特征是框架的控制设计原理的反比技术，它结合了轻量级容器，分层和在接口上编程的能力。

受影响的Spring版本包括5.2.3之前的5.2x，5.1.13之前的5.1x和5.0.16之前的5.0x。Spring Framework允许在这些早期版本中进行反射文件下载攻击。RFD攻击是一种Web攻击媒介，它可以使攻击者通过从受信任域下载的文件完全访问和控制受害者的计算机。在Spring Framework中，当设置内容处置标头以响应用户提供的文件名属性时，可能存在此漏洞。

10. PyYAML

如果你使用Python，你可能听说过PyYAML，一个流行的YAML发射器和解析器。虽然Python似乎每年都在流行，但用于编程语言的许多工具都是相对较新的。它们需要持续更新以缓解任何潜在的攻击或漏洞。

PyYAML库的早期版本通过任意代码执行存在风险，通常在使用FullLoader或使用full_load方法处理不受信任的文件时发生。该漏洞可能允许攻击通过滥用python/object/new构造函数来利用和执行任意代码，这就是为什么这个问题被认为是关键的原因。

如何解决软件安全漏洞

开发人员依靠开源软件和其他第三方组件来满足当前市场的开发需求。如果没有大量的OSS选项，软件项目开发的当前规模和速度是不可能的。不幸的是，尽管许多业务和开发团队了解实施OSS的风险，但他们仍然没有对安全分析给予足够的关注，特别是在整个SDLC中。

许多团队认为应用程序安全性既耗时又繁琐，宁愿将其留给那些完成项目的人，或者更糟糕的是，让它进入市场并看看什么有效。安全不是事后才想到的，也不一定是负担。通过适当的DevSecOps实践，项目可以在整个生命周期中实施安全计划，以确保随着项目的发展而缓解漏洞。

使用漏洞扫描程序和其他自动化工具有助于简化开发的早期阶段。声音扫描器应该帮助团队识别漏洞和漏洞，同时优先考虑需要立即纠正的漏洞和漏洞。这些工具还应提供缓解和修复建议。

在整个SDLC中纳入最佳安全实践并不一定是复杂和繁琐的。SOOS提供了一种易于集成的软件成分分析解决方案，每月只需99美元，价格低廉，价格实惠。最后，一款OSS漏洞扫描工具，以无与伦比的价格拥有无限的用户和无限的扫描！