OWASP 创始人:关注首要问题,开源库也可以放心使用
Veracode 的战略 VP,同时也是 OWASP 创始人的 Mark Curphey 在一次关于开源软件库的使用和风险的会议上表示,我们正处于应用安全的根本转折点上。
他认为这种转变源于三大趋势:
云:使用云将从根本上改变我们对安全性的看法。
开源的应用:与云类似,向开源的转变既会带来更大的安全风险,同时也会带来改变和提高安全性的机会。当每个开发者都使用同一个资源时,大家会专注于保护这一个资源,这会使得其安全性大大提高。
DevOps:DevOps 专注于自动化和持续交付,它将改变我们对安全性的思考方式,同时让我们思考如何将其嵌入开发人员流程中。
开源方面,Curphey 强调开源的生产和消费都有不断变化的趋势,在消费端,很难找到一家没有使用开源代码构建产品和服务的公司。他引用 SourceClear 的数据表明,高达 95% 的客户代码库都是开源的。另一方面,在生产端,我们可以看到正在创建的开源库数量有所增加,而且它们的分发速度也更快,并且体积越来越小。数量和速度的增长最终意味着更难以仔细检查哪些是安全的,哪些是不安全的。与此同时,开发速度也在不断提高,这意味着任何减慢或中断开发人员工作流程的安全检查都不会有效。今天的应用安全需要无阻碍且简单,这在很大程度上意味着自动化。
Curphey 指出,今天我们需要改变对于应用安全的思考方式,仅确保开发人员了解如何安全编码并扫描他们的代码是不够的,这会带来巨大安全隐患。更重要的是要考虑开发人员在其代码中使用的开源库。开源现在是创新的关键,并且有安全使用它的有效方法,这需要改变我们的安全思想以适应这一新的现实,而不是去惧怕它。
另一个方面,攻击者不仅仅攻击开源库,他们还创建恶意的开源代码,组织在不知情的情况下将其纳入其系统代码库中,这也是一大趋势。
但 Curphey 同时也指出,不用过于担忧,应对方法在于关注首要问题,他解释,在许多情况下,当开发人员引入开源库时,他们只使用了其中一小部分代码,可能只是其中一种函数或者一个功能。因此,即使开源库被标记为易受攻击,采用组织的系统可能也不会受到攻击。在这样的情况下,安全团队需要帮助开发团队确定可接受的风险并确定补救或缓解的优先级,关注于首要解决的安全问题。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Jim Zemlin:加速开源创新,Linux 基金会超越 Linux
前两天我们报道过 Linus 在北美开源峰会上关于Linux 成功要素的分享,今天看看 Linux 基金会执行董事Jim Zemlin 在会议上又分享了些什么。 据 DZone 报道,Jim Zemlin 在大会开幕致词时表示,Linux 基金会的工作是创造创新引擎,并使这些引擎的齿轮旋转得更快。关于组织如何推动跨行业创新,Linux 基金会下的Let's Encrypt、Automotive Grade Linux、Hyperledger和 Academy Software Foundation这样的项目是很典型的例子,Jim 认为这种加速开源创新是超越 Linux 的,它也代表了 Linux 基金会目前处在最强大的时期。 Linux 基金会致力于围绕开源项目构建可持续生态系统,以加速技术开发和行业采用,它成立于 2000 年,通过资金与技术资源、基础设施、服务、活动和培训为开源社区提供各种支持。Linux 基金会最初利用其支持 Linux 社区的经验和专业知识帮助建立、构建和维护一些最关键的开源技术,但今天它的工作远远超出了 Linux,在软件堆栈的每一层都促进了创新。Linux ...
- 下一篇
Percona 成为 MariaDB 基金会铜牌赞助商
MariaDB 基金会宣布 Percona 成为其铜牌赞助商。 Percona 是一个成立于 2006 年的开源数据库支持和服务公司,其开源了基于 MySQL 和 MariaDB 的一系列软件,包括集群、备份与服务器等内容,也开源了一些数据库管理工具,用于数据库监控与开发等。 Percona 对开源数据库社区的持续贡献体现在几个方面,包括举办 Percona Live 开源数据库会议、参加 meet-up 和网络研讨会,以及与开源数据库领域的其他主要参与者合作,包括 Mesosphere、Microsoft 和 AWS。Percona 对 MariaDB 基金会的赞助将有助于 MariaDB 生态系统的可持续发展和开放式协作,推动 MariaDB 被下游采用,并为不断增长的用户和开发人员社区提供服务。 Percona 的联合创始人兼首席执行官 Peter Zaitsev 表示:“我们致力于使用包括 MariaDB 在内的各种开源数据库平台为客户提供支持。我们期待与基金会不断扩展的生态系统成员合作,寻找新的方式为众多 MariaDB 用户和开发人员提供服务,帮助他们优化部署。“ Mari...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2全家桶,快速入门学习开发网站教程
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8