加强软件安全还需合理管理开源

本文作者是黑鸭子软件公司(Black Duck Software)的***技术官兼工程执行副总裁。

现在许多公司越来越明白这一点:想比竞争对手更迅速地开发出质量更好的创新软件,关键在于借助使用开源软件(OSS)。在如今的产品生命周期所需的速度和成本约束下,仅仅使用商用代码、将软件投向市场,这几乎是不可能实现的任务。要是没有能力选择和整合同类中***的OSS,一些最出色的产品点子可能永无出头之日。

不过使用开源也带来了一系列不同的挑战。虽然贵企业的团队能够获得速度和敏捷性,但常常更难查明代码的真正来源、确保代码安全可靠。

正如OpenSSL Heartbleed安全漏洞证明的那样,不知道自己的应用程序或最终产品中使用什么代码,有可能造成严重的安全威胁,需要投入大量精力来补救这些威胁,很耗费时间。反过来,要是查清楚使用了哪些OSS组件和版本、哪里使用了OSS组件和版本,对于迅速应对及补救安全漏洞大有帮助。

里面的代码很重要

Heartbleed软件错误提醒广大开发人员和公司企业安全到底有多重要。虽然之前就有围绕专有软件或开源软件哪个更安全这个广泛的争论,但这个争论基本上没啥意义。事实上,代码缺陷存在于大多数软件当中,不管代码来自专有软件还是开源软件,有些代码缺陷影响安全性。

当开源与内部的专有代码整合起来时,安全挑战可能显得尤为错综复杂。除了未合理管理许可证合规这个明显的风险外,在整个企业组织跟踪代码来源和使用情况可能很快会变得非常困难。

想真正准确地了解贵企业面临的潜在安全漏洞,就要明白三个问题:

1.贵企业目前的产品和应用程序中有什么代码?

2.开发过程的前期使用了什么代码?开发人员又从哪里获得了这些组件?

3.开发过程的后期使用了什么代码?代码在部署之前需要在哪里加以验证?

评估形势

所有公司都应该对照常见安全漏洞数据库核对自己的代码,比如美国标准和技术研究所(NIST)的全国安全漏洞数据库(NVD)。像NVD这些资源可以跟踪安全漏洞,并给出严重性等级,帮助公司企业确保各自的代码安全、***。

如果贵企业之前从未对照安全漏洞数据库审查过自己的代码,这可能是一项艰巨的任务。幸好,有些工具可以充分利用这些数据库,定期自动识别所有的开源安全漏洞,警报并跟踪受影响的组件在哪里使用、在哪里需要补救。

不断密切关注代码库有助于确保识别未知代码、查明代码来源、许可证信息***以及迅速标记未来的安全漏洞,以便尽快解决。如果贵企业查清楚了所使用的代码,就很容易找到安全性薄弱的代码,并加以补救,确保贵企业的业务及顾客处于安全的状态。

防止未来的问题

大多数开发人员之所以被OSS所吸引,原因在于OSS易于访问、随意获取,通常让他们可以摈弃正规的采购流程。不过,虽然许多开发公司对开源使用有相应的政策或准则,但这些政策或准则并不总是得到落实,常常没有受到合理的监控。查明什么代码进入贵企业、代码是否获准使用以及它在贵企业的哪个部门使用,这点很重要。

一旦贵企业知道了拥有的代码,就需要建立治理机制。通过在整个开发过程中实施管理体系,就能确保准确地描述代码,并消除什么代码在哪里、代码是不是***方面的问题。人工管理这个过程几乎不可能,这就是为什么同类中***的公司借助自动化代码管理和审计解决方案,主动管理开源软件的使用。

虽然每家公司和每个开发团队的情况各不相同,但事实证明下列流程可以帮助大大小小的企业管理和保护所使用的OSS:

•自动审批和列入目录――借助自动化扫描、审批和清点流程,记录并跟踪OSS组件的所有相关属性,评估许可证合规,并审查可能存在的安全漏洞。

•维护经过更新的代码版本――评估代码质量,并确保贵企业的产品采用***版本的代码开发而成。

•验证代码――评估使用的所有OSS;审查代码,评估安全、许可证或导出风险,并补救任何问题。

•确保合规――制定并落实一项开源政策,制定一套自动化合规流程,以确保开源政策、规定和法律义务等在整个企业都得到了遵守。

积极管理是关键

由于各行各业使用软件的现象日益普及,开源将继续在开发***创新产品和服务中扮演至关重要的角色。为了防止这个日益复杂的环境出现安全漏洞,公司势必要积极管理整个企业的开源流向,并制定流程,从而对照安全漏洞数据库定期核查代码,以便快速轻松地补救。

原文地址:http://www.linux.com/news/software/applications/782953-how-to-achieve-better-security-by-proper-management-of-open-source

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/150637.html<

(0)
管理的头像管理
上一篇2025-03-13 04:21
下一篇 2025-03-13 04:22

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注