OWASP 创始人:关注首要问题,开源库也可以放心使用

栏目: IT资讯 · 发布时间: 6年前

内容简介:Veracode 的战略 VP,同时也是 OWASP 创始人的 Mark Curphey 在一次关于开源软件库的使用和风险的会议上表示,我们正处于应用安全的根本转折点上。 他认为这种转变源于三大趋势: 云:使用云将从根本上改变我们对...

Veracode 的战略 VP,同时也是 OWASP 创始人的 Mark Curphey 在一次关于开源软件库的使用和风险的会议上表示,我们正处于应用安全的根本转折点上。

OWASP 创始人:关注首要问题,开源库也可以放心使用

他认为这种转变源于三大趋势:

  • :使用云将从根本上改变我们对安全性的看法。

  • 开源的应用:与云类似,向开源的转变既会带来更大的安全风险,同时也会带来改变和提高安全性的机会。当每个开发者都使用同一个资源时,大家会专注于保护这一个资源,这会使得其安全性大大提高。

  • DevOps:DevOps 专注于自动化和持续交付,它将改变我们对安全性的思考方式,同时让我们思考如何将其嵌入开发人员流程中。

开源方面,Curphey 强调开源的生产和消费都有不断变化的趋势,在消费端,很难找到一家没有使用开源代码构建产品和服务的公司。他引用 SourceClear 的数据表明,高达 95% 的客户代码库都是开源的。另一方面,在生产端,我们可以看到正在创建的开源库数量有所增加,而且它们的分发速度也更快,并且体积越来越小。数量和速度的增长最终意味着更难以仔细检查哪些是安全的,哪些是不安全的。与此同时,开发速度也在不断提高,这意味着任何减慢或中断开发人员工作流程的安全检查都不会有效。今天的应用安全需要无阻碍且简单,这在很大程度上意味着自动化。

Curphey 指出,今天我们需要改变对于应用安全的思考方式,仅确保开发人员了解如何安全编码并扫描他们的代码是不够的,这会带来巨大安全隐患。更重要的是要考虑开发人员在其代码中使用的开源库。开源现在是创新的关键,并且有安全使用它的有效方法,这需要改变我们的安全思想以适应这一新的现实,而不是去惧怕它。 

另一个方面,攻击者不仅仅攻击开源库,他们还创建恶意的开源代码,组织在不知情的情况下将其纳入其系统代码库中,这也是一大趋势。

但 Curphey 同时也指出,不用过于担忧,应对方法在于关注首要问题,他解释,在许多情况下,当开发人员引入开源库时,他们只使用了其中一小部分代码,可能只是其中一种函数或者一个功能。因此,即使开源库被标记为易受攻击,采用组织的系统可能也不会受到攻击。在这样的情况下,安全团队需要帮助开发团队确定可接受的风险并确定补救或缓解的优先级,关注于首要解决的安全问题。


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上所述就是小编给大家介绍的《OWASP 创始人:关注首要问题,开源库也可以放心使用》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

游戏之旅

游戏之旅

云风 / 电子工业出版社 / 2005-12-01 / 46.00

这是一本非常有特色的计算机编程学习书籍。其特色就在于它将作者十余年来对游戏编程的所思、所感、所悟与编程理论知识相结合,褪去了纯理论的教学理念,使读者在前人的学习过程中吸取学习经验和教训,将计算机基础知识和高级编程技术不知不觉地融入自己的头脑中。 本书忠实地记录了作者十余年来对游戏编程的所思、所感、所悟。全书按照作者本人学习和实践的过程,带着读者从基础的计算机知识到高级的编程技......一起来看看 《游戏之旅》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

在线进制转换器
在线进制转换器

各进制数互转换器

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码