弱點描述

使用有已知弱點的元件。 → 沒錯就是直接翻譯 =v=|||

修補建議

• 針對已使用的套件定期做版本更新
• 刪除未使用的項目，不必要的功能、組件、檔案…
• 針對已使用的套件定期在 CVE、Exploit DB 或 NVD 做漏洞檢核
• 追蹤相關最新資安訊息
• 定期做弱點掃描：WebInspect、Acunetix、Metasploit、…

這個部份我們常常被客戶問到說，怎麼知道自己用套件的是最新版本？
除了我們可以在元件的官網發佈以外，也有專門的工具，像說 OWASP Dependency-Check：https://www.owasp.org/index.php/OWASP_Dependency_Check 就有支援這樣的檢核。

另外，WhiteSource 也有這樣的功能。//沒用過，似乎是商用軟體？

相關新聞

Apache Struts2再度爆發高風險漏洞：https://www.ithome.com.tw/news/112591
Linux函式庫Glibc再現重大安全漏洞：http://www.ithome.com.tw/news/103938
CVE-jQuery 相關的弱點：https://www.cvedetails.com/product/11031/Jquery-Jquery.html?vendor_id=6538
WordPress 5.0.0远程代码执行漏洞分析：https://www.anquanke.com/post/id/171357