日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

開源軟件無處不在。由于使用開源軟件的組織不必為通用的軟件組件重新發(fā)明輪子，它已成為技術(shù)創(chuàng)新的主要驅(qū)動力。

為晉江等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及晉江網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為網(wǎng)站設(shè)計制作、網(wǎng)站設(shè)計、晉江網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

然而，無所不在的開源軟件也帶來了重大的安全風(fēng)險，因為它為使用開源軟件產(chǎn)品的消費(fèi)者有意或無意引入了漏洞。最近眾多組織紛紛應(yīng)對廣泛使用的Log4j代碼庫中的嚴(yán)重漏洞就是最明顯的例子，表明必須解決開源軟件環(huán)境中的風(fēng)險。

開源對網(wǎng)絡(luò)犯罪分子的吸引力

開源攻擊方法之所以對不法分子頗有吸引力，是由于它廣泛且高效。攻擊者可以使用各種方法來混淆對開源項目做出的惡意更改，而審核代碼以查找安全隱患的嚴(yán)格程度又因項目而異。如果沒有實施嚴(yán)格的控制措施來檢測這些惡意更改，它們可能無人注意，直到它們被分發(fā)、添加到眾多公司的軟件中。

針對開源代碼的攻擊可能在規(guī)模及影響的實體方面不一樣。比如在2021年7月，研究人員發(fā)現(xiàn)了九個漏洞，影響三個開源項目：EspoCRM、Pimcore和Akaunting，這些項目經(jīng)常被中小企業(yè)使用。此外，2017年Equifax數(shù)據(jù)泄露事件清楚地表明了漏洞如何被不法分子利用，并在整個過程中造成破壞性影響。由于這家組織的開源代碼曝出漏洞，泄露事件影響了1.47億人的個人數(shù)據(jù)。

永遠(yuǎn)不會放棄開源

CISA表示，數(shù)億臺設(shè)備可能受到Log4j漏洞的影響。鑒于這起事件的嚴(yán)重性，許多企業(yè)可能在分析是否將開源代碼用于未來的開發(fā)。

然而，完全放棄開源不切實際。所有現(xiàn)代軟件都是由開源組件構(gòu)建的，即便開發(fā)很小的應(yīng)用程序，在不用開源的情況下重新構(gòu)建這些組件都需要投入大量的時間和資金。全球60%以上的網(wǎng)站在Apache和Nginx服務(wù)器上運(yùn)行，據(jù)稱90%的IT領(lǐng)導(dǎo)者經(jīng)常使用企業(yè)開源代碼。

測試和保護(hù)您的軟件

一種更實際的方法是，讓安全團(tuán)隊和軟件團(tuán)隊協(xié)同工作，開發(fā)用于測試應(yīng)用程序和軟件組件的策略和流程，而不是對開源軟件避而遠(yuǎn)之。組織應(yīng)重視涉及這三部分的流程：需要掃描和測試代碼，建立明確的流程以解決和修復(fù)出現(xiàn)的漏洞，并制定內(nèi)部策略(設(shè)置解決安全問題的規(guī)則)。

說到使用工具測試開源環(huán)境的彈性，靜態(tài)代碼分析是很好的第一步。不過組織須記?。哼@只是第一道測試。靜態(tài)分析是指在實際程序或應(yīng)用軟件上線之前分析源代碼，并解決任何發(fā)現(xiàn)的漏洞。然而，靜態(tài)分析無法檢測出可能嵌入到開源代碼中的所有惡意威脅。下一步應(yīng)該是在沙盒環(huán)境中進(jìn)行額外的測試。嚴(yán)格的代碼審核、動態(tài)代碼分析和單元測試是可以利用的其他方法。動態(tài)分析是指在軟件程序正在運(yùn)行時對其進(jìn)行檢查，以識別漏洞。

掃描完成后，組織要有明確的流程來解決發(fā)現(xiàn)的任何漏洞。開發(fā)人員可能會發(fā)現(xiàn)發(fā)布截止日期迫在眉睫，或者軟件補(bǔ)丁可能需要重構(gòu)整個程序，而時間緊張。這個流程應(yīng)給出明確的后續(xù)步驟以解決漏洞和緩解問題，從而幫助開發(fā)人員做出艱難的選擇，以保護(hù)組織的安全。

政策變更步驟應(yīng)制定一項書面計劃，列出如何在將來制定所有決策，以及在整個過程中應(yīng)讓哪些利益相關(guān)者參與進(jìn)來。此外，組織可以對開源組件實施多種控制，比如證書和認(rèn)證計劃。不過請記住，這會增加額外的間接成本，并減慢開源項目的開發(fā)速度。

保護(hù)開源遠(yuǎn)離未來攻擊

整個行業(yè)在關(guān)注進(jìn)一步保護(hù)開源代碼的必要性。Linux基金會在2021年10月宣布，它與其他行業(yè)領(lǐng)導(dǎo)者一起籌資1000萬美元，用于識別和修復(fù)開源軟件中的網(wǎng)絡(luò)安全漏洞，并開發(fā)改進(jìn)的工具、培訓(xùn)、研究和漏洞披露實踐。

除了全行業(yè)努力保護(hù)基于開源代碼構(gòu)建的軟件免受網(wǎng)絡(luò)威脅外，組織還必須在內(nèi)部對防御策略采取積極主動的方法。這應(yīng)包括為它們自己的代碼和所依賴的開源代碼實施測試和控制程序。組織還必須制定內(nèi)部政策和指南，以識別使用開源軟件帶來的風(fēng)險，并確定用于管理該風(fēng)險的控制措施。這么做將使組織得以繼續(xù)利用開源代碼的優(yōu)點，同時打造一種能抵御未來攻擊的環(huán)境。

原文標(biāo)題：Open Source Code: The Next Major Wave of Cyberattacks，作者：James Carder

當(dāng)前標(biāo)題：開源代碼引發(fā)的下一波網(wǎng)絡(luò)攻擊浪潮
文章網(wǎng)址：http://www.dlmjj.cn/article/djdigjs.html