首页
社区
课程
招聘
[分享]缺乏资金、修补缓慢,开源组件安全仍需多方协作努力!
发表于: 2021-8-11 11:23 4248

[分享]缺乏资金、修补缓慢,开源组件安全仍需多方协作努力!

2021-8-11 11:23
4248

尽管越来越多的企业扩大了对开源的使用,但大多数公司并没有回馈给开源社区什么。此外,开源的安全性在继续下降。



当安全研究人员和开源社区在2014年4月披露OpenSSL的心脏滴血漏洞时,该项目——支撑大部分网络安全通信——只有两名全职开发人员。


如此关键的开放源码项目缺乏资源,突出了开放源码项目和组件继续存在的问题:资金不足、修补速度慢,而且逐渐引起网络攻击者的兴趣。


在 Black Hat USA简报会上,两位开源安全倡导者呼吁对开源项目(尤其是关键项目)进行更协调的资助,并在安全研究人员和开发人员之间进行更大规模的合作。

NCC Group 在北美的全球研究主管Jennifer Fernick 在“保护开源软件”的演讲中称,开源软件的安全性是技术生态系统每个部分的基础,但目前开源安全性越来越差。


平均而言,检测开源软件中的典型漏洞需要数年时间,但在野外利用漏洞的速度比以往任何时候都快,并且开发人员在编写安全代码方面并没有变得更好。


两位开源安全基金会 (OpenSSF) 的领导者强调了当前开源软件经济不景气,许多公司依赖其安全性,但很少有公司将员工时间用于实现这一目标。安全研究人员和开发人员没有动力为漏洞编写补丁,而攻击者的首要任务是利用这些漏洞。


很多时候,我们陷入了公地悲剧,我们认为有人看过代码,他们分析了代码,就安全了。但实际上可能不是这样。据Synopsis称,目前84%的代码库至少存在一个安全漏洞。由于开源软件依赖于第三方代码链,安全团队通常很难获得依赖性供应链的全部可见性,而在那些不易察觉的地方的任何漏洞都可能导致整个网络受到破坏。建议企业在软件开发过程中或进行DevsecOps建设时,有必要进行一定的静态代码安全检测及开源代码安全测试,以确保没有在无意间将安全漏洞引入软件,提高软件安全性降低遭到网络攻击的风险。




[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 73
活跃值: (923)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
fossid了解一下
2021-8-11 13:42
0
游客
登录 | 注册 方可回帖
返回
//