保护企业系统中的代码安全(企业安全防护系统)

fangcloud 720 2022-08-08

本文转载自网络公开信息

保护企业系统中的代码安全(企业安全防护系统)

随着企业越来越依赖开源代码,在享受使用开源代码便利的同时,开源代码的安全问题也成为企业的”安全噩梦“。

开源代码是一把双刃剑

开源的核心是即用型软件,可以帮助团队缩短开发时间提高开发人员效率。但开放源码是在社区参与的基础上开发。如果社区对项目失去兴趣,或者关键人员被召集到另一个项目中工作,开发就会停滞。此外,由于开发人员认为定位和修复bug是社区的责任,所以bug可能会被忽略。当社区对漏洞或缺陷的修补缓慢时,安全问题也将带入到企业当中。

在面对开源组件时,尽管企业中的许多人依赖开源代码,但他们很可能不将代码视为自己的代码,并且通常不会将相同的安全控制应用于他们自己的本地构建代码。这意味着开源库经常逃避安全测试和代码审查,这会使得缺陷和安全漏洞可以在基础层嵌入产品当中。

企业可以采取一些措施来保护开源代码的安全性,如使用SCA工具来扫描所有的开源库;预先构建安全性以在基础级别保护开源代码。应用安全控制,让工程团队进行测试,进行代码审查,并通过攻击者角度的行为分析来减轻威胁。

预先构建安全性以保护基础级别的开源代码。应用安全控制,让工程团队进行测试,进行代码审查,并使用以攻击者为中心的行为分析来缓解威胁。

自研代码安全性

Forrester首席分析师Condo曾表示,企业需要在软件开发的早期关注安全问题。除了要确定开源依赖项带来安全问题并将其排除在外,同样要注意的是,在自研代码中存在的安全漏洞一样需要及时检测 静态代码安全和修正缺陷。

数据显示,在软件测试、发布阶段纠正缺陷的成本是编码阶段发现并纠正缺陷的成本的15-90倍,如果在交付用户之后才发现并解决缺陷,这个数字将达到50-200倍。因此,在编码实现阶段发现并解决尽可能多的缺陷,能够极大降低缺陷管理成本,据相关统计数字估计,这个成本至少可以降低1/3。

Condo表示,在软件开发初期不够关注静态代码及开源组件的安全,就会制造更多的技术债务和安全问题,将不得不以更昂贵的方式处理下游问题。

安全应该成为整个软件开发链的一部分,诸如如何更安全的开发软件、保护API安全和数据安全,并建立安全相应机制。

本站部分文章、图片属于网络上可搜索到的公开信息,均用于学习和交流用途,不能代表亿方云的观点、立场或意见。我们接受网民的监督,如发现任何违法内容或侵犯了您的权益,请第一时间联系小编邮箱daifeng@360.cn 处理。
上一篇:如何找出Excel工作表中的重复数据并在单元格中列出
下一篇:为什么艺术字的转换不能用(艺术字没有转换)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~