Excel中制作下订单及清空按钮实现每次单击加1及清空单元格中内容
585
2022-08-01
随着企业越来越依赖开源代码,在享受使用开源代码便利的同时,开源代码的安全问题也成为企业的”安全噩梦“。
开源代码是一把双刃剑
开源的核心是即用型软件,可以帮助团队缩短开发时间提高开发人员效率。但开放源码是在社区参与的基础上开发。如果社区对项目失去兴趣,或者关键人员被召集到另一个项目中工作,开发就会停滞。此外,由于开发人员认为定位和修复bug是社区的责任,所以bug可能会被忽略。当社区对漏洞或缺陷的修补缓慢时,安全问题也将带入到企业当中。
在面对开源组件时,尽管企业中的许多人依赖开源代码,但他们很可能不将代码视为自己的代码,并且通常不会将相同的安全控制应用于他们自己的本地构建代码。这意味着开源库经常逃避安全测试和代码审查,这会使得缺陷和安全漏洞可以在基础层嵌入产品当中。
企业可以采取一些措施来保护开源代码的安全性,如使用SCA工具来扫描所有的开源库;预先构建安全性以在基础级别保护开源代码。应用安全控制,让工程团队进行测试,进行代码审查,并通过攻击者角度的行为分析来减轻威胁。
预先构建安全性以保护基础级别的开源代码。应用安全控制,让工程团队进行测试,进行代码审查,并使用以攻击者为中心的行为分析来缓解威胁。
自研代码安全性
Forrester首席分析师Condo曾表示,企业需要在软件开发的早期关注安全问题。除了要确定开源依赖项带来安全问题并将其排除在外,同样要注意的是,在自研代码中存在的安全漏洞一样需要及时检测 静态代码安全和修正缺陷。
数据显示,在软件测试、发布阶段纠正缺陷的成本是编码阶段发现并纠正缺陷的成本的15-90倍,如果在交付用户之后才发现并解决缺陷,这个数字将达到50-200倍。因此,在编码实现阶段发现并解决尽可能多的缺陷,能够极大降低缺陷管理成本,据相关统计数字估计,这个成本至少可以降低1/3。
Condo表示,在软件开发初期不够关注静态代码及开源组件的安全,就会制造更多的技术债务和安全问题,将不得不以更昂贵的方式处理下游问题。
安全应该成为整个软件开发链的一部分,诸如如何更安全的开发软件、保护API安全和数据安全,并建立安全相应机制。
发表评论
暂时没有评论,来抢沙发吧~