2019,企业使用开源的新时代

信息安全D1net 信息安全D1net

点击上方“蓝色字体”,选择 “设为星标 [原文来自:www.tt44.com]

关键讯息,D1时间送达! [转载出处:www.tt44.com]



越来越多的开源库正在被创建,这些开源库的传播越来越快,而且分布在越来越小的部分中。



开源代码正在呈爆炸式增长,Veracode欧洲、中东及非洲(EMEA)和泛太平洋亚洲及日本(APJ)主管Paul Farrington写道。


每一个企业都在使用开源组件来构建自己的软件产品和服务。当一个软件以开源软件的形式发布时,意味着原作者愿意将源代码免费提供给技术社区进行学习和改进。


这是因为在这些项目上的大量合作,能够带来一些技术上的巨大进步。同时,开源能够使一些无法承担授权费的个人,更容易使用这些软件。


使用开源代码加快了开发周期,并减少了相关成本。但是这一优势也带来了一些风险——开源代码无法得到像内部开发的软件一样严格的审查。当识别出一个漏洞时,在所有应用程序中精确定位具有风险的组件将会非常困难,并且成本很高。


开源影响软件供应链


现在存在500万个开源库,但是其增长速度是呈指数级的——我们将会看到在未来十年里,数百万开发人员将发布多达5亿的开源库。这一趋势给那些在其应用中使用开源代码的企业增加了威胁,因为开源在提高效率的同时,开发人员使用的组件也继承了原来的漏洞。


仅确保自己的开发人员了解如何进行安全开发和源码扫描是不够的 。这将会给你的安全工作带来一个巨大的漏洞。


你还需要考虑到开发人员在其代码中使用的开源库。例如,现在很多应用程序的安全环境是围绕公共漏洞披露(CVEs)构建的。但是公共漏洞内容创建在DevOps出现之前,也在开源代码呈爆炸式增长之前。现在,等待一个漏洞出现在公共列表中是完全不可行的。


好消息是,使用有漏洞的库并不一定会使你受到攻击。明确开源软件是否含有漏洞不是最重要的,关键在于其中的漏洞是否容易被利用。确定优先级是确保开源安全的关键。


很多情况下,开发人员使用开源库时,只会使用一小部分——一个方法或者功能。所以即使这个开源库被标记为易受攻击,你的数据中可能没有使用易受攻击的部分,或者你使用的方法或者功能不易受到攻击。


那些能够有效管理软件供应链的组织机构,拥有其他企业没有的竞争优势。一个管理良好的软件供应链——能够通过定期扫描,并根据组件风险等级确定修复的优先级,保持其供应链的安全性,从而保证组织机构的安全。


开源安全趋势


易受攻击的开源组件在很多软件中泛滥。此外,Veracode研究发现,一旦企业发现漏洞,开源软件是修复速度最慢的对象之一——平均需要企业花费93天来修复前25%的开源漏洞。而这只是为什么开源安全会成为一个突出问题的快照。


同时,黑客的观念也在发生变化。开源数量的激增,改变了攻击者网络犯罪经济学。他们可以发动一次能够造成很多攻击的行动,而不是去攻击每一个应用。所以不仅有越来越多的开源库,正在成为网络犯罪的目标,攻击者已经开始创建恶意开源代码,而组织机构不知不觉间将这些代码纳入其代码库中。勒索软件是其中比较常见的威胁之一。


云使用的增加,也从根本上改变了我们对安全的思考方式。随着云应用和漏洞扫描需求的增加,企业需要快速发展。商业创新速度的加快,加剧了这一需求。没有一定的云规模,几乎不可能跟上数字经济的发展。


我们也看到重点开始转移到了自动化和持续交付,通过这些方法能够使企业将安全整合到开发人员的工作流程中。尽管现在有OWASP(开放式Web应用程序安全项目),PCI(外设组件互连标准),CISQ(软件质量标准化联盟),NIST(美国国家标准与技术研究院)和FS-ISAC(美国金融服务信息共享和分析中心)等行业基准,要求有明确的策略和控制来管理组件的使用,但是很多企业很难有效的执行这些策略。


开源合作将在2019年蓬勃发展


开源软件的生产和消费趋势都在发生变化。就消费方面来说,以后将会很难找到一个在构建其产品和服务时,不使用开源代码的企业。


越来越多的开源库正在被创建,这些开源库的传播越来越快,而且分布在越来越小的部分中。开源数量和速度上的快速增长,意味着能够快速并频繁对应用程序进行安全评估变得至关重要。


与此同时,应用程序开发的速度正在稳步提高,这意味着任何阻碍或者打断开发人员工作流程的安全检查都不会是有效的方法。如今保证应用程序的安全工作,需要能够无摩擦并容易的进行,这很大程度上意味着需要实行自动化。我们将需要强大的自动化和机器学习,为开发人员识别,追踪和指出漏洞。


开发团队和安全团队的合作,将会促进发展,并能够对开源组件的安全性进行必要的审查。


(来源:安全牛)


如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿 投稿邮箱:editor@d1net.com


点击蓝色字体关注

您还可以搜索公众号“D1net”选择关注D1net旗下的各领域(云计算,数据中心,大数据,CIO, 企业通信 ,企业应用软件,网络数通,信息安全,服务器,存储,AI人工智能,物联网智慧城市等)的子公众号。

企业网D1net已推出企业应用商店(www.enappstore.com),面向企业级软件,SaaS等提供商,提供陈列,点评功能,不参与交易和交付。现可免费入驻,入驻后,可获得在企业网D1net 相应公众号推荐的机会。欢迎入驻。
扫描下方“二维”即可注册,注册后读者可以点评,厂商可免费入

信息安全D1net微信号:D1Net18扫描二维码关注公众号
爱八卦,爱爆料。
小编推荐
  1. NO.1 猫咪被困家中73天,独自顽强求生,再见主人时,它哭得泪流满

    武汉有位铲屎官养了一只蓝猫,猫咪平时工致听话,深得主人喜爱。 本年1月21号,铲屎官筹算回家乡过年,因为家乡较远,而且只归去5-6天,怕猫咪

  2. NO.2 别人家的喵,连个自制纸箱猫窝都这么高级?

    点击箭头处 猫咪爱上喵星人 , 旁观更多喵星人的奇葩事 对喵星人来说 金窝银窝不如本身的烂纸盒 铲屎官最无奈的一刻 哪一个铲屎官没有 给自家喵

  3. NO.3 小泰迪着急的样子太可爱了,萌萌哒

    长按二维码识别存眷我们哦~ 微旌旗:atdq520 爱泰迪 犬 高朋狗狗 ↓↓ 点 击 「 阅读原文 」 ,超等萌的狗狗等着你!

  4. NO.4 两只颜值超高的大金毛,最近诞下了一窝小奶狗,萌死个人!

    国外一网友家里有两只大金毛Sawyer和Stevie,比来添了窝金毛宝宝,两只大的天天一路乐呵呵地带7个小P孩。 三岁的Sawyer和Stevie,从小一路长大,情绪

  5. NO.5 现在的流浪猫都这么厉害了?直接上门偷鱼!网友抱怨晚餐少了

    现在的飘泊猫弗成小视!它们的各种迹象都露出出了高智商的行为!为什么这么说呢? 想想我们以前碰到的飘泊猫,在我们眼里它们都是可怜的,萌

  6. NO.6 小奶猫打完了小伙伴,又想过去打猫妈

    小奶猫打完了小伙伴,又想曩昔打猫妈。 究竟才走到猫妈跟前,还没着手,就被猫妈抱起来舔,太可爱了。

  7. NO.7 海淀区清上园小区多只流浪猫遭钢钉射伤,以虐杀为乐的人是该

    四月八号,家住在北京海淀区清上园小区的业主回响,在小区内发现多只飘泊猫身上惨遭钢钉穿身! 并且使用的钢钉都是专业对象,看模样就是像专

  8. NO.8 《动森》究竟好玩在哪?

    ┌ ┬ ┐ N O W R E P O V #Animal Crossing #Nintendo #Game ┼ 你比来在玩什么游戏?3 月以来,游戏圈子能够说是特别「热闹」——免费「吃鸡」游戏《使命理睬

Copyright2018.天天资讯网资讯站,让大家及时掌握各行各业第一手资讯新闻!