日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
避免開(kāi)源代碼漏洞的四個(gè)優(yōu)秀實(shí)踐

今年對(duì)確保開(kāi)源生態(tài)系統(tǒng)的完整性和安全性提出了更大的挑戰(zhàn)。開(kāi)源對(duì)開(kāi)發(fā)者來(lái)說(shuō)有非常大的好處,因?yàn)閹缀跞魏稳硕伎梢悦赓M(fèi)地使用和定制它,并為社區(qū)做出貢獻(xiàn)。這種能夠確保更大透明度、安全性和促進(jìn)開(kāi)發(fā)人員跨項(xiàng)目協(xié)作的方式,也為對(duì)手從中獲利鋪平了道路。

?[[341504]]??

作為一名安全研究人員,我在今年遇到并分析了700多個(gè)被植入了的RubyGems軟件包,除了挖掘比特幣之外沒(méi)有任何其他用途。還有一個(gè)很受歡迎的例子是章魚(yú)掃描儀,這是一種惡意軟件,它已經(jīng)悄悄地把它的觸角注入到了至少26個(gè)GitHub項(xiàng)目當(dāng)中。這些事件強(qiáng)調(diào)了這樣一個(gè)事實(shí),即任何對(duì)公眾開(kāi)放的系統(tǒng)也會(huì)對(duì)對(duì)手開(kāi)放,并且容易被濫用。

上面的例子集中在惡意組件上面。那些沒(méi)有被注意到的擁有安全漏洞的合法開(kāi)源包呢?

一個(gè)易受攻擊或惡意的軟件包進(jìn)入流行的存儲(chǔ)庫(kù),并最終進(jìn)入你的軟件供應(yīng)鏈,可能會(huì)對(duì)你的客戶造成嚴(yán)重破壞。在npm、PyPI、NuGet和Fedora等流行的開(kāi)源存儲(chǔ)庫(kù)中,已經(jīng)檢測(cè)到了脆弱的和惡意的組件。

“在過(guò)去的幾年里,我們已經(jīng)看到了在整個(gè)生態(tài)系統(tǒng)的開(kāi)源包中所發(fā)現(xiàn)的所有漏洞,傳統(tǒng)上,Node.js和Java每年都顯示出了最大數(shù)量的新漏洞,”Snyk開(kāi)源安全報(bào)告2020的作者說(shuō)。

該報(bào)告還表明,在軟件開(kāi)發(fā)過(guò)程早期實(shí)施的安全措施是2019年報(bào)告的新漏洞比2018年少的原因?!叭绻@一趨勢(shì)持續(xù)下去,這可能是一個(gè)積極跡象,表明提高開(kāi)源軟件安全性的努力正在開(kāi)始取得成效,”報(bào)告繼續(xù)說(shuō)道。

下面是一些提高開(kāi)源代碼安全性的最佳實(shí)踐。

1. 了解你的軟件

Sonatype進(jìn)行的2020年DevSecOps社區(qū)調(diào)查顯示,大多數(shù)公司--即使是那些在其工作流程中內(nèi)置了某種程度的DevSps實(shí)踐的公司,也缺乏對(duì)其軟件應(yīng)用程序所使用的所有開(kāi)源組件以及應(yīng)用于它們的漏洞的全面了解。

“當(dāng)一個(gè)開(kāi)放源代碼的項(xiàng)目中發(fā)現(xiàn)一個(gè)漏洞時(shí),你應(yīng)該立即問(wèn)兩個(gè)問(wèn)題:我們是否曾經(jīng)使用過(guò)該開(kāi)源組件,以及(如果是的話)它在哪里?”報(bào)告作者說(shuō)。

Sonatype對(duì)5000多名開(kāi)發(fā)人員的調(diào)查顯示,只有45%擁有成熟DevOps實(shí)踐的組織為其應(yīng)用程序保留了完整的軟件物料清單(SBOM)?!罢{(diào)查結(jié)果顯示,在有‘不成熟實(shí)踐’的組織中,多達(dá)74%的組織無(wú)法知道一個(gè)新披露的開(kāi)源組件中的漏洞是否適用于他們的軟件,”該報(bào)告說(shuō)。這意味著那些擁有完整SBOM的不成熟實(shí)踐的組織將無(wú)法知道他們是否使用了易受攻擊的開(kāi)源代碼,也不知道在他們的環(huán)境中哪里可以找到新發(fā)布的漏洞。

考慮到每天在NVD、GitHub和其他托管網(wǎng)站上發(fā)布的大量漏洞,如果沒(méi)有一些自動(dòng)化的解決方案,開(kāi)發(fā)者和安全專(zhuān)家將很難跟上這些數(shù)據(jù)。歷史表明,大多數(shù)組織都是等到安全事件發(fā)生后才會(huì)加強(qiáng)他們的安全措施。然而,俗話說(shuō),一分預(yù)防勝于一分治療。

通過(guò)在軟件開(kāi)發(fā)生命周期中采用“左移”的方法,在早期實(shí)現(xiàn)的安全性可以獲得十倍的回報(bào),并提高開(kāi)發(fā)人員的整體意識(shí)。

2. 解決依賴(lài)性問(wèn)題

Veracode的2020年軟件安全狀態(tài)報(bào)告強(qiáng)調(diào)了一個(gè)常見(jiàn)的軟件安全問(wèn)題。與開(kāi)發(fā)人員本身不同,“相互關(guān)聯(lián)的依賴(lài)關(guān)系”會(huì)間接地在應(yīng)用程序中引入潛在的風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)可能會(huì)被大多數(shù)開(kāi)發(fā)人員所忽略?!拔覀兊臄?shù)據(jù)顯示,大多數(shù)有缺陷的庫(kù)都間接地變成了代碼。應(yīng)用程序中有47%的缺陷庫(kù)是可傳遞的--換句話說(shuō),它們不是由開(kāi)發(fā)人員直接引入的,而是由某個(gè)庫(kù)所引入的(42%是直接引入的,12%是兩者兼而有之)。這意味著開(kāi)發(fā)人員引入的代碼會(huì)比他們預(yù)期的要多,而且往往是有缺陷的代碼?!?/p>

然而,根據(jù)Veracode的說(shuō)法,糾正這個(gè)問(wèn)題似乎并不是一項(xiàng)重大的任務(wù):“解決這些庫(kù)中的安全缺陷通常不是一項(xiàng)重要的工作。應(yīng)用程序中大多數(shù)庫(kù)所引入的缺陷(將近75%)都可以通過(guò)較小的版本更新來(lái)解決。通常不需要主要庫(kù)的升級(jí)!這一數(shù)據(jù)表明,問(wèn)題的關(guān)鍵在于發(fā)現(xiàn)和跟蹤,而不是大規(guī)模的代碼重構(gòu)?!?/p>

3. 自動(dòng)進(jìn)行代碼掃描以查找未知項(xiàng)

章魚(yú)掃描事件和其他形式的開(kāi)源生態(tài)系統(tǒng)的濫用,如typosquatting,已經(jīng)促使像GitHub這樣的庫(kù)維護(hù)者必須強(qiáng)制對(duì)他們所托管的開(kāi)源項(xiàng)目進(jìn)行自動(dòng)掃描。正如今年所報(bào)道的那樣,GitHub現(xiàn)在已經(jīng)集成了基于CodeQL的開(kāi)源存儲(chǔ)庫(kù)的自動(dòng)掃描。

GitHub高級(jí)產(chǎn)品經(jīng)理Justin Hutchings告訴Register網(wǎng)站,“事實(shí)證明,這種能力在安全方面是非常有用的。大多數(shù)安全問(wèn)題都只是錯(cuò)誤的數(shù)據(jù)流或錯(cuò)誤的數(shù)據(jù)使用。”

除了識(shí)別出隱藏的漏洞和bug之外,還可以定期掃描開(kāi)放源碼的項(xiàng)目,以尋找出數(shù)據(jù)泄漏的跡象,比如貢獻(xiàn)者無(wú)意中公開(kāi)的私鑰和憑證。從去年開(kāi)始,一些供應(yīng)商就已經(jīng)在他們的產(chǎn)品中集成了自動(dòng)掃描功能,以識(shí)別發(fā)布到合法開(kāi)源存儲(chǔ)庫(kù)中的惡意軟件。這些技術(shù)會(huì)將行為分析與機(jī)器學(xué)習(xí)相結(jié)合,以主動(dòng)搜尋“假冒部件”。

獨(dú)立開(kāi)發(fā)人員在較小規(guī)模上發(fā)布的實(shí)驗(yàn)性開(kāi)源掃描器(npm-scan)也出現(xiàn)了,可以使用啟發(fā)式方法檢測(cè)易受攻擊的組件。

在組件進(jìn)入供應(yīng)鏈之前,使用自動(dòng)化工具實(shí)現(xiàn)這種廣泛的安全審計(jì)可以幫助增加開(kāi)源生態(tài)系統(tǒng)中的信任度和完整性問(wèn)題。

4. 小心許可風(fēng)險(xiǎn)

使用開(kāi)源軟件的關(guān)鍵好處是它的許可證所提供的自由。如果你在開(kāi)源包中發(fā)現(xiàn)了一個(gè)尚未修復(fù)的bug,你可以選擇自己修復(fù)它,而不是等待供應(yīng)商。你可以在你的項(xiàng)目中定制一個(gè)你認(rèn)為合適的開(kāi)源應(yīng)用程序,并將定制的版本交付給你的客戶。

但是,要了解使用開(kāi)源組件可能產(chǎn)生的任何潛在的許可沖突,就可能需要更多的技巧了。Synopsys發(fā)布的2020年開(kāi)源安全與風(fēng)險(xiǎn)分析報(bào)告指出:

當(dāng)一個(gè)代碼庫(kù)包含開(kāi)源組件,而其許可證可能與代碼庫(kù)的總體許可證發(fā)生沖突時(shí),聲明的許可證沖突就會(huì)出現(xiàn)。例如,GNU通用公共許可證v2.0(GPLv2)下的代碼在編譯成一個(gè)正常分布的商業(yè)軟件時(shí)通常就會(huì)引起沖突問(wèn)題。但對(duì)于被認(rèn)為是軟件即服務(wù)(SaaS)的軟件來(lái)說(shuō),相同的代碼就不是問(wèn)題。”

對(duì)于在不同上下文中使用相同的開(kāi)源應(yīng)用程序的開(kāi)發(fā)人員來(lái)說(shuō),這些相互沖突的術(shù)語(yǔ)可能會(huì)造成混淆。除了漏洞和惡意組件之外,一些自動(dòng)化解決方案還可以識(shí)別出大量的許可證和由它們所引起的潛在沖突。

Black Duck的一份報(bào)告發(fā)現(xiàn),2019年審計(jì)的代碼庫(kù)中有67%包含有許可證沖突的組件。對(duì)于某些行業(yè),如互聯(lián)網(wǎng)和移動(dòng)應(yīng)用程序,這一比例還要高得多(93%)。“GPL是比較流行的開(kāi)源許可之一,它的各種版本也可能會(huì)與代碼庫(kù)中的其他代碼產(chǎn)生許可沖突。事實(shí)上,前10個(gè)有沖突的許可證中有5個(gè)就是GPL及其變體,”該報(bào)告稱(chēng)。


網(wǎng)頁(yè)標(biāo)題:避免開(kāi)源代碼漏洞的四個(gè)優(yōu)秀實(shí)踐
網(wǎng)頁(yè)網(wǎng)址:http://www.dlmjj.cn/article/dpcjcgd.html