精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業動態 → 正文

請注意代碼的來源:開源多少算是太多?

責任編輯:editor006 作者:三文魚 |來源:企業網D1Net  2017-10-23 16:50:45 本文摘自:it168網站

開源能夠引起很多安全漏洞,開源多少算是太多? DevOps可以救我們嗎?

你知道你的代碼從哪兒來的么?

從安全方面來說,這是一個比開發人員意識到的更重要的因素。在最近的安全漏洞事件中,如2017年的Equifax失敗,突顯了開源軟件的重要性;黑客們通過Apache Struts使用了一個已知的漏洞來訪問超過1.43億美國人的敏感信息。

開源有利也有弊。由于其開放性和協作性,開放允許很多人來查看代碼并發現問題和錯誤。這些錯誤是公開發布的。從理論上講,每個人都會去更新他們的代碼,但是事實并非如此。

糟糕的維護或純粹的業務往往使程序員無法更新代碼。當漏洞被公開發布時,黑客們會測試各種組織,看是否有人在一段時間內沒更新他們的代碼。

多少算是太多開源?

首先,我們鼓勵發放源碼。

但是,在安全性的形勢中,多少是太多又變成了問題? 在利用開源并維護應用程序和組織安全之間存在一中緊張關系。

據2017年“軟件安全報告”報告,約75%的應用代碼由開源組件組成。 這是引起關注的一個原因,特別是當只有28%的組織跟蹤和監視其應用程序的組件。

令人震驚的是,Veracode的報告指出,“大多數開源組件一旦被內置到軟件中,就不會被修補”。 更令人震驚是,88%的Java應用程序在組件中至少存在有一個缺陷。

請注意代碼的來源:開源多少算是太多?


▲Veracode2017年軟件安全報告狀態圖

同樣,這個問題的關鍵在于,一旦發現漏洞或新版本發布,開發人員就不會在生產中修復組件。

一線希望

好消息是情況有所好轉。 Veracode的報告指出,許多 “成熟的項目正在對其漏洞密度上取得了穩定的進展”。

壞消息是,目前這樣的項目并不多,而且在改善行業的安全問題上還有很長的路要走。

請注意代碼的來源:開源多少算是太多?


▲Veracode2017年軟件安全報告狀態圖

過去的一年里,40%以上的缺陷仍未解決。近30%花了90天才能解決。不到10%的缺陷在8天內得到解決。

我們應該何去何從?

我們不會放棄開源,這是現代互聯網的基石。但是我們需要更加注意我們的代碼來自哪里,可以做得更好。

組織機構和企業要在安全和更新方面投入更多時間。防患于未然。沒有人想成為大規模安全漏洞的下一個受害者。

關鍵字:代碼StrutsEquifax

本文摘自:it168網站

x 請注意代碼的來源:開源多少算是太多? 掃一掃
分享本文到朋友圈
當前位置:安全行業動態 → 正文

請注意代碼的來源:開源多少算是太多?

責任編輯:editor006 作者:三文魚 |來源:企業網D1Net  2017-10-23 16:50:45 本文摘自:it168網站

開源能夠引起很多安全漏洞,開源多少算是太多? DevOps可以救我們嗎?

你知道你的代碼從哪兒來的么?

從安全方面來說,這是一個比開發人員意識到的更重要的因素。在最近的安全漏洞事件中,如2017年的Equifax失敗,突顯了開源軟件的重要性;黑客們通過Apache Struts使用了一個已知的漏洞來訪問超過1.43億美國人的敏感信息。

開源有利也有弊。由于其開放性和協作性,開放允許很多人來查看代碼并發現問題和錯誤。這些錯誤是公開發布的。從理論上講,每個人都會去更新他們的代碼,但是事實并非如此。

糟糕的維護或純粹的業務往往使程序員無法更新代碼。當漏洞被公開發布時,黑客們會測試各種組織,看是否有人在一段時間內沒更新他們的代碼。

多少算是太多開源?

首先,我們鼓勵發放源碼。

但是,在安全性的形勢中,多少是太多又變成了問題? 在利用開源并維護應用程序和組織安全之間存在一中緊張關系。

據2017年“軟件安全報告”報告,約75%的應用代碼由開源組件組成。 這是引起關注的一個原因,特別是當只有28%的組織跟蹤和監視其應用程序的組件。

令人震驚的是,Veracode的報告指出,“大多數開源組件一旦被內置到軟件中,就不會被修補”。 更令人震驚是,88%的Java應用程序在組件中至少存在有一個缺陷。

請注意代碼的來源:開源多少算是太多?


▲Veracode2017年軟件安全報告狀態圖

同樣,這個問題的關鍵在于,一旦發現漏洞或新版本發布,開發人員就不會在生產中修復組件。

一線希望

好消息是情況有所好轉。 Veracode的報告指出,許多 “成熟的項目正在對其漏洞密度上取得了穩定的進展”。

壞消息是,目前這樣的項目并不多,而且在改善行業的安全問題上還有很長的路要走。

請注意代碼的來源:開源多少算是太多?


▲Veracode2017年軟件安全報告狀態圖

過去的一年里,40%以上的缺陷仍未解決。近30%花了90天才能解決。不到10%的缺陷在8天內得到解決。

我們應該何去何從?

我們不會放棄開源,這是現代互聯網的基石。但是我們需要更加注意我們的代碼來自哪里,可以做得更好。

組織機構和企業要在安全和更新方面投入更多時間。防患于未然。沒有人想成為大規模安全漏洞的下一個受害者。

關鍵字:代碼StrutsEquifax

本文摘自:it168網站

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 呼图壁县| 玛曲县| 格尔木市| 平遥县| 彰化市| 嘉兴市| 博野县| 凌云县| 湖北省| 富蕴县| 舞阳县| 西畴县| 盖州市| 连云港市| 象州县| 周至县| 凤山市| 嘉荫县| 陆丰市| 东平县| 江永县| 安徽省| 天津市| 固安县| 安泽县| 清远市| 临安市| 凤庆县| 饶平县| 丰台区| 桐梓县| 特克斯县| 衡山县| 大庆市| 怀集县| 武冈市| 桐柏县| 永泰县| 闸北区| 包头市| 伊宁县|