隨著越來越多的公司在其軟件中依賴開源組件,保護這些組件的安全變得越來越重要 。在今天進行的一項Google活動中,開源專家探討了如何確保開源軟件的安全 。援引外媒 Dark Reading 報道,這些討論的話題還包括公司應(yīng)該優(yōu)先考慮什么,以及采取什么樣的措施來改善開源安全的現(xiàn)狀 。
Synopsys 公司指出,平均每個軟件程序至少依賴 500 個開源庫和組件,比 2 年前的 298 個依賴項增長了 77% 。一般軟件程序中超過 75% 的代碼由開源庫和組件組成,84% 的應(yīng)用程序至少有一個漏洞,平均每個應(yīng)用程序有 158 個 。
文章圖片
在關(guān)于開源供應(yīng)鏈安全的演講中,Google軟件工程師 Dan Lorenc 建議公司了解他們在使用什么 。他承認(rèn),這一步看起來很明顯,但并不容易,特別是當(dāng)開發(fā)者開始創(chuàng)建和發(fā)布工件,并將工件與其他工件結(jié)合起來時 。當(dāng)一個漏洞被報告時,不管是無意的還是惡意的,不知道什么在操作,都會讓你陷入困境 。
【Google|谷歌專家探討開源軟件安全的挑戰(zhàn)和解決方案】
文章圖片
治理和不斷審計新的依賴關(guān)系,無論是內(nèi)部還是開放源碼,都是保障軟件的有效策略 。Lorenc 補充說,這種控制也可以延伸到你使用的組件,并指出這對大多數(shù)公司來說也是一個困難的步驟 。此外,要驗證二進制包的內(nèi)容是很困難的,但也不一定非要全盤否定 。另一方面,生成和編譯代碼是開放源碼的一部分 。知道你可以在需要時進行構(gòu)建是成功的一半,表明你對進入你的應(yīng)用程序的代碼有控制權(quán) 。
Lorenc 強調(diào),企業(yè)應(yīng)該有計劃地處理零日漏洞和已知問題 。零日漏洞通常情況下會稱為頭條更容易受到關(guān)注,企業(yè)應(yīng)該有一個應(yīng)急策略來迅速修補它們 。此外,一些老的漏洞由于關(guān)注度不高而始終沒有得到修復(fù) 。在運行各種環(huán)境和系統(tǒng)的大型組織中,這些問題很容易被忽視 。
推薦閱讀
- 注冊gmail郵箱賬號 怎么注冊谷歌郵箱
- 谷歌董事長:時過境遷 壟斷地位受到威脅
- 畸胎瘤對胎兒的影響有哪些
- 專家告訴你什么人群鞋底總是磨損
- 聽信偽專家搞得不敢喝水了 保健水到底應(yīng)該怎么喝
- 專家指出 熬湯有“七要”(烹飪技巧)
- 如廁做一件事防乳腺增生
- 敏感肌膚 春季如何處理皮膚過敏
- 專家稱黑芝麻等食物能養(yǎng)腎(五谷食療)
- 專家:吃大蒜也分人群(蔬菜食療)