搬主题
9月,Patchstack发布了其关于WordPress及其扩展的漏洞的六个月报告。当时,它列出了超过1000个问题。在WebARX的旗帜下,该公司在2018年推出了其安全平台的第一个版本。在通过PlugBounty和收购ThreatPress等服务超越其最初的SaaS产品后,该公司于今年3月重新命名为Patchstack。
在其2020年白皮书中,这家安全公司在这一年发现了582个漏洞。这份报告涵盖了Patchstack和第三方供应商的问题。
然而,2021年发现的问题比前一年成倍增加。Patchstack Red Team是一个每月支付赏金的社区漏洞猎杀计划,从3月到10月已经报告了1182个漏洞。到目前为止,赏金支付已经达到9150美元。
这些仅仅是通过Patchstack Red Team发现的问题。如果再加上该公司跟踪的其他供应商报告的安全问题,漏洞数量就会跃升到2000多个。
"我不认为我们需要担心,"Patchstack创始人兼首席执行官Oliver Sild说,当被问及这些数字有多大问题时。"我认为我们应该感激和高兴的是,我们有道德黑客和研究人员,他们一直在投入更多的时间帮助插件开发人员改进他们的代码。从一个角度来看,你可以看到在发现新的漏洞方面是创纪录的一年,但我们看到的是在WordPress生态系统中修复安全问题的创纪录的一年。这些问题中的大多数已经存在多年了"。
一些安全插件供应商和托管公司,包括Pagely和Cloudways,正在支持Patchstack倡议。作为回报,他们可以访问Threat Intelligence Feed,这是一个API,用来警告他们的客户新发现的漏洞。
"Sild说:"Patchstack极其关注插件漏洞。"这是我们关注的重点,也是我们最想做的事情。我们的竞争优势是,我们的功能较少,这意味着较少的臃肿,对网站的性能没有影响。同时,我们解决的可能是WordPress生态系统中的第一大安全问题"。
他指的是第三方插件和主题是主要的安全问题。在该公司2020年的白皮书中,超过96%的漏洞来自WordPress扩展。
10月,Patchstack请来了Robert Rowley,他是DreamHost和Pagely的前安全主管,担任新的 "安全倡导者 "职务。Sild说,他的知识会给我们带来很多经验。
"他将帮助我们使Patchstack对托管公司和对插件开发者都更好,"这位CEO说。"同时,他将通过传播意识和帮助双方更好地了解对方(和挑战)来帮助我们缩小插件开发者和道德黑客之间的差距"。
在过去的一周里,该公司向WordPress目录发布了其Patchstack插件。这个免费版本基本上是为网站所有者提供一个安全问题的警告系统。
"你可以把社区(免费)版看作是WordPress生态系统中的任何人都可以得到关于在插件、主题和WordPress核心中发现的新漏洞的提醒的一种选择,"Sild说。"它带有一个中央仪表板,你可以免费添加多达99个网站,因此你将在一个地方获得所有分析和关于你所有网站的安全问题的警报。"
免费版本不包括热补丁或修补程序。它的目标是检测问题并提供警报。Patchstack在其专业和商业计划中升级了功能。
"专业版带有针对那些漏洞的自动虚拟补丁,它对正在发现的漏洞提供主动保护,"Sild说。"商业计划对于拥有100多个网站并希望对其所有网站的插件漏洞进行全面保护的机构来说是非常好的。"
Sild还调侃说,"一些非常酷的东西 "正在为开发者和道德黑客创造一个更安全的插件生态系统。然而,他没有提供任何细节。
评论前必须登录!
立即登录 注册