0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何解决开源系统漏洞带来的问题?

lhl545545 来源:与非网 作者:与非网 2020-08-26 11:33 次阅读

软件,不管是由谁构建的,都很容易受到漏洞攻击,随着我们的世界越来越依赖数字化,更多的软件被编写,更多的漏洞也将会出现。现在,开源可以说是构建软件应用的基础。如果没有有效的方法来跟踪和管理开源,企业将面临使用开源所带来的安全、许可证合规性和代码质量风险。

自 2005 年起,NVD 漏洞数据库每年都报告 4,000 ~ 8,000 个新漏洞,但是这一数字在 2017 年激增至 14,645,2018 年增至 16,511,2019 年则增至 17,306。

尽管开源软件的漏洞少于专有软件,但是开源安全问题不容忽视。新思科技公司发布的《2020 年开源安全和风险分析》报告(OSSRA)发现经过审计的代码库中,75%包含具有已知安全漏洞的开源组件,将近一半(49%)的代码库包含高风险漏洞,而且 91%的代码库包含已经过期四年以上或者近两年没有开发活动的组件。OSSRA 报告由新思科技网络安全研究中心(CyRC)制作,研究了由 Black Duck 审计服务团队执行的对超过 1,250 个商业代码库的审计结果。

虽然开源是免费的,并且有许多优点,但仍需遵循许可证要求。如果企业有意或者无意地违反所使用组件的许可证要求,则可能会失去其专有代码的权利或者使 IP 所有权面临风险。尽管并非所有的漏洞都将带来灾难性的问题,但它们使企业面临一系列已知的风险:金融盗窃、企业间谍活动、勒索软件、客户敏感数据的泄露和潜在的人身安全威胁等。

凯易讯(Calix)所面临的风险就是一个例子。Calix 是一家领先的云和软件平台、系统和服务的供应商,它在亚太地区包括中国和澳大利亚都有业务,其中一个海外研发中心位于中国南京软件谷。该公司的年营业额达到 4.8 亿美元,为全球超过 1,400 家通讯服务供应商提供服务。Calix 建立和管理由定制、商业和开源代码组成的软件,这些软件包含数千万行的代码。然而,它所面临的挑战是如何发布符合严格标准、高质量、安全的软件。

Calix 产品工程服务工程总监 Vivek Singh 表示:“与绝大多数科技公司一样,Calix 深刻意识到这些风险,但我们的安全团队也知道手动分析代码库既耗时又昂贵。尤其是对于新兴的系统,我们可以手动做很多事情,但是花费会很高。尽管公司之前一直在使用开源扫描工具,但更新非常慢,并没有跟上新发现和报告的漏洞信息的速度。”

如何解决这些问题?

预防往往优于事后补救。预防软件漏洞始于从软件开发生命周期早期识别漏洞。这不仅可以在开发过程结束时交付更安全的产品,同时也将节约时间和成本。

开发软件的时候,每一步都存在潜在的安全问题。由于预算和时间的限制,安全通常被排在软件开发流程的最后阶段。其实,在软件开发之初就应该考虑安全性,并且需要为开发过程准备好正确的测试工具,方便开发人员可以在最小的干扰下整合软件安全管理。这意味着开发团队可以更好地管理他们的时间,并且使软件开发变得更加容易,安全性也更高。

Vivek Singh 表示 Calix 已经使用 Coverity 静态分析超过五年了,并且于大约两年前也采用了 Black Duck 软件组成分析和 Defensics 模糊测试。

Coverity 是一种静态应用安全测试解决方案(SAST),提供精准的、可操作的补救建议,以及针对特定情景的 eLearning 在线学习,帮助开发人员快速修复缺陷。它还可以通过自动化测试无缝集成到 CI/CD 管道,以保持开发速度。

Black Duck 是一种提供全面的软件组成分析(SCA)解决方案,用于管理由于在应用程序和容器中使用开源而产生的安全性、许可证合规性和代码质量风险。

Defensics 是一种自动化的黑盒模糊测试,使得组织可以高效并有效地发现和修补软件中的安全漏洞。

Vivek Singh 指出:“一旦为下一个版本开发了新的开发流程,所有的这些过程,Coverity、Black Duck 和 Defensics(触及我们代码库的所有相关的扫描过程),都将自动在 Bamboo CI 引擎中进行设置。这是我们日常工作的一部分。当构建的时候(开发人员签入代码),我们有一个集中的主线代码存储库,并且该过程从第一天便开始。所有的报告都是实时并且是最新的。这些都很少涉及手动操作。”

Vivek Singh 介绍道:“Coverity 解决了所有的静态分析问题,并且提供了一个集中数据库。它具有出色的报告系统,对于从程序经理到产品经理再到开发经理,任何人都能够在一个单一的平台管理所有的事情,这非常关键。尽管在当今市场上有许多静态分析工具,但我想说 Coverity 无疑是同类产品中出类拔萃的。”

当提到 Black Duck 软件组成分析, Vivek Singh 表示这是三连胜:更快、更好和更实惠,并称赞道“它使用起来超级简单,并且在自动化方面,Black Duck 与之前的工具相比有巨大的提升。它有许多非常清晰的报告,使我们清楚地了解到哪些地方需要重点关注,因此我们不需要一位高级架构师来尝试解码整个报告并找出在我们代码库中的问题。”

Vivek Singh 说:“Defensics 已经成为 Calix 软件测试套件的一部分,因为我们不断向市场推出新的产品,当我们涉足网络行业的新的领域时,安全性则是首要考虑因素。我们之所以会引入它,并不仅仅因为我们所面临的挑战,还因为我们的新产品,我们正开发的新的软件在这个领域是非常广泛的,我们必须研究模糊测试协议扫描和类似的东西。”

他说最重要的是可以更快地、更好地交付软件安全性。他还表示:“我们点击一个按钮即可设置 CI 计划,它可以从 Black Duck、Defensics、 Coverity 和我们的其它安全分析工具提取所有内容,并且它们可以自动插入并生成报告和扫描,如果一个漏洞需要被修复,会立即进入我们的漏洞管理系统。”

现在,几乎每家从事商业活动的公司,无论销售什么产品,都会使用到软件,并且很容易受到漏洞攻击。在精简的流程和更短的时间内有效提高开发的软件的安全性和质量,是公司在数字时代激烈竞争环境中所需要的核心优势。
责任编辑:pj

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 软件
    +关注

    关注

    69

    文章

    4943

    浏览量

    87487
  • 开源
    +关注

    关注

    3

    文章

    3348

    浏览量

    42499
  • 数字化
    +关注

    关注

    8

    文章

    8739

    浏览量

    61779
收藏 人收藏

    评论

    相关推荐

    常见的漏洞分享

    #SPF邮件伪造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 发现spf最后面跟着~all,代表有
    的头像 发表于 11-21 15:39 121次阅读
    常见的<b class='flag-5'>漏洞</b>分享

    物联网系统的安全漏洞分析

    随着物联网威廉希尔官方网站 的快速发展,越来越多的设备被连接到互联网上,从智能家居、智能城市到工业自动化,物联网的应用范围不断扩大。然而,随着物联网设备的增多,安全问题也日益凸显。 一、物联网系统安全漏洞的成因
    的头像 发表于 10-29 13:37 375次阅读

    面向功能安全应用的汽车开源操作系统解决方案

    在SAE 2024国际汽车安全大会上,Elektrobit的Linux专家王红燕在操作系统与芯片威廉希尔官方网站 的分论坛上为大家带来了“面向功能安全应用的汽车开源操作系统解决方案”主题演讲。
    的头像 发表于 09-27 09:21 479次阅读
    面向功能安全应用的汽车<b class='flag-5'>开源</b>操作<b class='flag-5'>系统</b>解决方案

    漏洞扫描一般采用的威廉希尔官方网站 是什么

    漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序中的安全漏洞。以下是一些常见的漏洞扫描威廉希尔官方网站 : 自动化漏洞扫描 : 网络扫描 :使用
    的头像 发表于 09-25 10:27 366次阅读

    漏洞扫描的主要功能是什么

    弱点,以减少潜在的安全风险。 1. 漏洞识别 漏洞扫描的首要功能是识别系统中存在的安全漏洞。这些漏洞可能包括: 操作
    的头像 发表于 09-25 10:25 408次阅读

    《七剑下天山》之“七剑利刃”:“新一代”漏洞扫描管理系统

    日前,国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关威廉希尔官方网站 研究开发的领军企业——国联易安自主研发推出“新一代”漏洞扫描管理系统:国联统一系统脆弱性管理平台
    的头像 发表于 09-09 11:23 368次阅读

    5v适配器经TPS63030,给运放MCP6v71.TPS63030的带来的噪声有点大如何解决?

    5v适配器经TPS63030,给运放MCP6v71.TPS63030的带来的噪声有点大,能达到400mv,这个如何解决?
    发表于 08-30 08:19

    内核程序漏洞介绍

    电子发烧友网站提供《内核程序漏洞介绍.pdf》资料免费下载
    发表于 08-12 09:38 0次下载

    国际基金会傅炜老师带来的精彩干货分享#RISC-V #开源

    开源RISC-V
    RISCV国际人才培养认证中心
    发布于 :2024年06月05日 17:50:07

    国际基金会傅炜老师带来的精彩干货分享#RISC-V #开源

    开源RISC-V
    RISCV国际人才培养认证中心
    发布于 :2024年06月05日 16:54:42

    国际基金会傅炜老师带来的精彩干货分享#RISC-V #开源

    开源RISC-V
    RISCV国际人才培养认证中心
    发布于 :2024年06月05日 14:54:09

    深开鸿首个通过公安部安全检测认证的开源鸿蒙安全操作系统发行版!

    近日,深开鸿基于开源鸿蒙打造的国产操作系统“KaihongOS”经过严格的漏洞覆盖等安全测试,取得了国家网络与信息系统安全产品质量检验检测中心(公安部第三研究所)颁发的《信息威廉希尔官方网站 产品安
    的头像 发表于 03-20 10:12 637次阅读
    深开鸿首个通过公安部安全检测认证的<b class='flag-5'>开源</b>鸿蒙安全操作<b class='flag-5'>系统</b>发行版!

    Windows事件日志查看器存在零日漏洞

    弗洛里安指出,该漏洞无需高级用户权限即可通过Windows 10设备使域控制器的日志服务失效。AcrosSecurity经过验证发现此漏洞同时适用于Windows 11系统,且仅需约1秒即可造成主
    的头像 发表于 02-02 14:29 552次阅读

    何解决Linux系统中的网络连接问题?

    何解决Linux系统中的网络连接问题? Linux系统中的网络连接问题是常见的威廉希尔官方网站 难题之一,通常涉及在Linux上配置网络接口、解决网络故障和排除连接问题等方面的知识。在本文中,将详细介绍如
    的头像 发表于 01-12 15:17 998次阅读

    [开源]万界星空开源MES系统,支持低代码大屏设计

    万界星空科技免费MES、开源MES、商业开源MES、商业开源低代码MES、市面上最好的开源MES、MES源代码、免费MES、免费智能制造系统
    的头像 发表于 01-12 13:43 787次阅读
    [<b class='flag-5'>开源</b>]万界星空<b class='flag-5'>开源</b>MES<b class='flag-5'>系统</b>,支持低代码大屏设计