OWASP 创始人：关注首要问题，开源库也可以放心使用

Veracode 的战略 VP，同时也是 OWASP 创始人的 Mark Curphey 在一次关于开源软件库的使用和风险的会议上表示，我们正处于应用安全的根本转折点上。

他认为这种转变源于三大趋势：

• 云：使用云将从根本上改变我们对安全性的看法。

• 开源的应用：与云类似，向开源的转变既会带来更大的安全风险，同时也会带来改变和提高安全性的机会。当每个开发者都使用同一个资源时，大家会专注于保护这一个资源，这会使得其安全性大大提高。

• DevOps：DevOps 专注于自动化和持续交付，它将改变我们对安全性的思考方式，同时让我们思考如何将其嵌入开发人员流程中。

开源方面，Curphey 强调开源的生产和消费都有不断变化的趋势，在消费端，很难找到一家没有使用开源代码构建产品和服务的公司。他引用 SourceClear 的数据表明，高达 95％ 的客户代码库都是开源的。另一方面，在生产端，我们可以看到正在创建的开源库数量有所增加，而且它们的分发速度也更快，并且体积越来越小。数量和速度的增长最终意味着更难以仔细检查哪些是安全的，哪些是不安全的。与此同时，开发速度也在不断提高，这意味着任何减慢或中断开发人员工作流程的安全检查都不会有效。今天的应用安全需要无阻碍且简单，这在很大程度上意味着自动化。

Curphey 指出，今天我们需要改变对于应用安全的思考方式，仅确保开发人员了解如何安全编码并扫描他们的代码是不够的，这会带来巨大安全隐患。更重要的是要考虑开发人员在其代码中使用的开源库。开源现在是创新的关键，并且有安全使用它的有效方法，这需要改变我们的安全思想以适应这一新的现实，而不是去惧怕它。

另一个方面，攻击者不仅仅攻击开源库，他们还创建恶意的开源代码，组织在不知情的情况下将其纳入其系统代码库中，这也是一大趋势。

但 Curphey 同时也指出，不用过于担忧，应对方法在于关注首要问题，他解释，在许多情况下，当开发人员引入开源库时，他们只使用了其中一小部分代码，可能只是其中一种函数或者一个功能。因此，即使开源库被标记为易受攻击，采用组织的系统可能也不会受到攻击。在这样的情况下，安全团队需要帮助开发团队确定可接受的风险并确定补救或缓解的优先级，关注于首要解决的安全问题。