OWASP 创始人:关注首要问题,开源库也可以放心使用

栏目: 软件资讯 · 发布时间: 6年前

内容简介:Veracode 的战略 VP,同时也是 OWASP 创始人的 Mark Curphey 在一次关于开源软件库的使用和风险的会议上表示,我们正处于应用安全的根本转折点上。他认为这种转变源于三大趋势:

Veracode 的战略 VP,同时也是 OWASP 创始人的 Mark Curphey 在一次关于开源软件库的使用和风险的会议上表示,我们正处于应用安全的根本转折点上。

OWASP 创始人:关注首要问题,开源库也可以放心使用

他认为这种转变源于三大趋势:

  • 云:使用云将从根本上改变我们对安全性的看法。

  • 开源的应用:与云类似,向开源的转变既会带来更大的安全风险,同时也会带来改变和提高安全性的机会。当每个开发者都使用同一个资源时,大家会专注于保护这一个资源,这会使得其安全性大大提高。

  • DevOps:DevOps 专注于自动化和持续交付,它将改变我们对安全性的思考方式,同时让我们思考如何将其嵌入开发人员流程中。

开源方面,Curphey 强调开源的生产和消费都有不断变化的趋势,在消费端,很难找到一家没有使用开源代码构建产品和服务的公司。他引用 SourceClear 的数据表明,高达 95% 的客户代码库都是开源的。另一方面,在生产端,我们可以看到正在创建的开源库数量有所增加,而且它们的分发速度也更快,并且体积越来越小。数量和速度的增长最终意味着更难以仔细检查哪些是安全的,哪些是不安全的。与此同时,开发速度也在不断提高,这意味着任何减慢或中断开发人员工作流程的安全检查都不会有效。今天的应用安全需要无阻碍且简单,这在很大程度上意味着自动化。

Curphey 指出,今天我们需要改变对于应用安全的思考方式,仅确保开发人员了解如何安全编码并扫描他们的代码是不够的,这会带来巨大安全隐患。更重要的是要考虑开发人员在其代码中使用的开源库。开源现在是创新的关键,并且有安全使用它的有效方法,这需要改变我们的安全思想以适应这一新的现实,而不是去惧怕它。

另一个方面,攻击者不仅仅攻击开源库,他们还创建恶意的开源代码,组织在不知情的情况下将其纳入其系统代码库中,这也是一大趋势。

但 Curphey 同时也指出,不用过于担忧,应对方法在于关注首要问题,他解释,在许多情况下,当开发人员引入开源库时,他们只使用了其中一小部分代码,可能只是其中一种函数或者一个功能。因此,即使开源库被标记为易受攻击,采用组织的系统可能也不会受到攻击。在这样的情况下,安全团队需要帮助开发团队确定可接受的风险并确定补救或缓解的优先级,关注于首要解决的安全问题。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C程序设计语言

C程序设计语言

(美)Brian W. Kernighan、(美)Dennis M. Ritchie / 徐宝文、李志译、尤晋元审校 / 机械工业出版社 / 2004-1 / 30.00元

在计算机发展的历史上,没有哪一种程序设计语言像C语言这样应用广泛。本书原著即为C语言的设计者之一Dennis M.Ritchie和著名计算机科学家Brian W.Kernighan合著的一本介绍C语言的权威经典著作。我们现在见到的大量论述C语言程序设计的教材和专著均以此书为蓝本。原著第1版中介绍的C语言成为后来广泛使用的C语言版本——标准C的基础。人们熟知的“hello,World"程序就是由本书......一起来看看 《C程序设计语言》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具