Apache 软件基金会：顶级项目仍使用老旧软件，补丁作用被削弱

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

ASF 在最新的Apache 生态系统安全状况回顾报告中提到，在2021年共收到影响99个顶级项目的441份漏洞报告，比2020年（376份）和2019年（320份）分别增长了17%和38%。

这些漏洞报告最终获得183个CVE编号，其余50个漏洞仍在调查中。这一CVE编号数量比2020年（151个）增长了21%，比2019年（122个）增长了50%，包括2021年年底爆出的 Log4j 漏洞在内。基金会指出，2021年年底的漏洞报告数量激增，导致50份漏洞报告正在调查核实中。

基金会的副总裁 Mark Cox 指出，“虽然ASF通常会很快推出严重漏洞的安全更新，但报告显示用户因多年来未修复的ASF 软件中的老旧问题而遭利用，厂商及其用户仍然使用含有未修复漏洞的老旧版本。这仍然是一个大问题，我们正致力于参与这个行业问题并提出解决措施。”

ASF 在参加白宫开源软件安全峰会前发布行动报告称，供应链弱点同时位于上下游中。

ASF 还表示在2021年收到了135份关于Apache 网站漏洞的报告，但几乎全都属于“误报“。ASF 还发布了2021年值得关注的漏洞及其进展情况，其中包含 Log4j 漏洞。另外ASF 发布了 Apache Velocity 中的一个XSS 缺陷情况，该漏洞的修复方案距离披露时间过了一个月。ASF 欢迎研究员对影响 Apache HTTP Server 的新型HTTP/2 独有威胁（CVE-2021-33193）进行研究，以及在去年10月份在 HackerOne 平台上的互联网漏洞奖励计划对 Apache Airflow、Apache HTTP Server 和 Apache Commons 进行研究。

尽管由志愿者维护的组织存在固有的资源限制，但 Mark Cox 指出，ASF 继续在350多个独立的 Apache 项目中实现了“处理所报告安全漏洞的一致性流程“并保留了归档缺乏这种流程的项目的权利。