In questi giorni è stato pubblicato l'Apache Foundation Security Report 2019, l'annuale resoconto dei bug di sicurezza rilevanti e risolti all'interno dei più di 300 progetti software gestiti dalla fondazione.
Mark Cox, Vice President Security per Apache Software Foundation, ha presentato il doc3 tramite un articolo pubblicato sul blog ufficiale della fondazione:
Il comitato di sicurezza di Apache Software Foundation supervisiona e coordina la gestione delle vulnerabilità in tutti i progetti Apache.
Grazie alle nostre procedure di controllo e agli strumenti che abbiamo sviluppato è possibile creare facilmente dei report statistici dettagliati sulle vulnerabilità scoperte durante l'anno.
Il campione analizzato dai ricercatori comprendere 18 mila email e 620 thread di sicurezza. Secondo il rapporto durante l'anno di osservazione sono state risolte più di 100 CVE (Common Vulnerabilities and Exposures). Cox ha pubblicato anche un pratico grafico riassuntivo che mostra il numero di vulnerabilità emerse dalle segnalazioni degli utenti:
Come è possibile notare solo 320 thread su 620 contengono effettivamente dei messaggi riguardanti dei nuovi bug di sicurezza. Inoltre, appena 122 di queste segnalazioni sono passate al livello di allerta successivo ricevendo un etichetta CVE.
Secondo Cox il contributo dei volontari all'interno della fondazione resta vitale non solo per i contributi diretti allo sviluppo dei progetti ma anche per la segnalazione delle vulnerabilità:
Il security committee, istituito nel 2002, viene gestito dai volontari [provenienti dai progetti Apache], grazie alle procedure sviluppate è possibile gestire decine di bug di sicurezza.
Nel 2019 grazie alle segnalazioni abbiamo rilevato più di 300 vulnerabilità e corretto più di 100 CVE. Se siete a conoscenza di un bug di sicurezza [all'interno dei prodotti Apache] non esitate a segnalarlo.
Via Sdtimes