OWASP 创始人:关注首要问题,开源库也可以放心使用

栏目: 软件资讯 · 发布时间: 6年前

内容简介:Veracode 的战略 VP,同时也是 OWASP 创始人的 Mark Curphey 在一次关于开源软件库的使用和风险的会议上表示,我们正处于应用安全的根本转折点上。他认为这种转变源于三大趋势:

Veracode 的战略 VP,同时也是 OWASP 创始人的 Mark Curphey 在一次关于开源软件库的使用和风险的会议上表示,我们正处于应用安全的根本转折点上。

OWASP 创始人:关注首要问题,开源库也可以放心使用

他认为这种转变源于三大趋势:

  • 云:使用云将从根本上改变我们对安全性的看法。

  • 开源的应用:与云类似,向开源的转变既会带来更大的安全风险,同时也会带来改变和提高安全性的机会。当每个开发者都使用同一个资源时,大家会专注于保护这一个资源,这会使得其安全性大大提高。

  • DevOps:DevOps 专注于自动化和持续交付,它将改变我们对安全性的思考方式,同时让我们思考如何将其嵌入开发人员流程中。

开源方面,Curphey 强调开源的生产和消费都有不断变化的趋势,在消费端,很难找到一家没有使用开源代码构建产品和服务的公司。他引用 SourceClear 的数据表明,高达 95% 的客户代码库都是开源的。另一方面,在生产端,我们可以看到正在创建的开源库数量有所增加,而且它们的分发速度也更快,并且体积越来越小。数量和速度的增长最终意味着更难以仔细检查哪些是安全的,哪些是不安全的。与此同时,开发速度也在不断提高,这意味着任何减慢或中断开发人员工作流程的安全检查都不会有效。今天的应用安全需要无阻碍且简单,这在很大程度上意味着自动化。

Curphey 指出,今天我们需要改变对于应用安全的思考方式,仅确保开发人员了解如何安全编码并扫描他们的代码是不够的,这会带来巨大安全隐患。更重要的是要考虑开发人员在其代码中使用的开源库。开源现在是创新的关键,并且有安全使用它的有效方法,这需要改变我们的安全思想以适应这一新的现实,而不是去惧怕它。

另一个方面,攻击者不仅仅攻击开源库,他们还创建恶意的开源代码,组织在不知情的情况下将其纳入其系统代码库中,这也是一大趋势。

但 Curphey 同时也指出,不用过于担忧,应对方法在于关注首要问题,他解释,在许多情况下,当开发人员引入开源库时,他们只使用了其中一小部分代码,可能只是其中一种函数或者一个功能。因此,即使开源库被标记为易受攻击,采用组织的系统可能也不会受到攻击。在这样的情况下,安全团队需要帮助开发团队确定可接受的风险并确定补救或缓解的优先级,关注于首要解决的安全问题。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

新榜样

新榜样

新榜 编著 / 电子工业出版社 / 2016-1 / 50.00元

本书为“新榜”全新打造的新媒体运营实战指南,全书基于对当前各类公众号的对比分析,阐述互联网时代各类公众号运营之道。全书分为五个部分,分别为:如何让政务公众号接地气,如何让自媒体公众号重获新生,如何做垂直领域的特色公众号,新媒体深度人物,以及新媒体深度分析等。一起来看看 《新榜样》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具