天域苍穹,雪鹰领主,梦入神机

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

開源代碼帶來的10大安全和運(yùn)營風(fēng)險

Endor Labs 引入了OWASP風(fēng)格的清單，列出了使用開源軟件 (OSS) 中固有的最重要或影響最大的風(fēng)險。

我們提供的服務(wù)有：成都網(wǎng)站設(shè)計、網(wǎng)站制作、外貿(mào)營銷網(wǎng)站建設(shè)、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、文成ssl等。為1000+企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的文成網(wǎng)站制作公司

OSS 的使用實(shí)際上是免費(fèi)的，而且隨時可用——它滿足了軟件開發(fā)中對速度和低成本的商業(yè)需求。超過 80% 的現(xiàn)代應(yīng)用程序代碼來自 OSS 的情況并不少見，因此它會一直存在（至少在某些新技術(shù)可以提供更快但仍然便宜的軟件開發(fā)之前）。

這里的問題是我們對我們使用的開源的來源知之甚少。它沒有保證或 SLA；我們通常不知道這個開發(fā)工具的開發(fā)者；它可以在我們不知情的情況下引入重大安全風(fēng)險（想想Log4J）。

Endor Labs 是一家總部位于加利福尼亞州帕洛阿爾托的初創(chuàng)公司，由 Dimitri Stiliadis（首席技術(shù)官）和 Varun Badhwar（首席執(zhí)行官）于 2021 年創(chuàng)立，是一家專注于在商業(yè)應(yīng)用程序開發(fā)中越來越多地使用 OSS 所包含的復(fù)雜性和威脅的公司。

其 Station 9 研究團(tuán)隊現(xiàn)已開發(fā)并發(fā)布了一份關(guān)于十大開源軟件風(fēng)險的報告。希望是為 OSS 效仿OWASP Top Ten 為 Web 應(yīng)用程序安全提供的內(nèi)容。它按嚴(yán)重程度列出了十個最重要的風(fēng)險（安全和/或操作），提供了描述、示例、補(bǔ)救措施和進(jìn)一步的參考來源。與 OWASP 列表一樣，它將隨著個別風(fēng)險的變化或嚴(yán)重程度被新風(fēng)險取代而得到維護(hù)。

不出所料，當(dāng)前排名第一的風(fēng)險是“已知漏洞”。Endor 描述指出，“組件版本可能包含易受攻擊的代碼，由其開發(fā)人員意外引入。漏洞詳細(xì)信息已公開，例如通過 CVE。漏洞利用和補(bǔ)丁可能可用也可能不可用。” 這里值得注意的是 Rapid7 的研究指出，56% 的 CVE 漏洞在公開披露后的 7 天內(nèi)被利用。

其余九種風(fēng)險是：

合法包的妥協(xié)，例如，攻擊者可能會注入惡意代碼以利用供應(yīng)鏈攻擊該代碼的用戶
名稱混淆攻擊，類似于基于 Web 的攻擊中的拼寫錯誤搶注
未維護(hù)的軟件，其中的組件可能在不知不覺中不再得到維護(hù)或支持
過時的軟件，即使可能有更新的版本，但仍在使用舊版本，
未跟蹤的依賴項，可能是因為它不是上游 SBOM 的一部分
許可證和監(jiān)管風(fēng)險，例如，許可證可能與下游消費(fèi)者的預(yù)期用途不相容
不成熟的軟件，OSS項目開發(fā)可能不符合開發(fā)最佳實(shí)踐
未經(jīng)批準(zhǔn)的更改，組件可能在開發(fā)人員不知情的情況下更改
依賴性過小或過大，在后一種情況下，組件可能會提供很多功能，但只能使用其中的一小部分

當(dāng)然，OSS 風(fēng)險遠(yuǎn)不止十種?！叭绻闆r發(fā)生變化，我們可能至少每年都會更新這份名單。幾年，什么都不會改變；幾年之后，”Badhwar 告訴SecurityWeek。

您可能認(rèn)為引入 SBOM 是為了為應(yīng)用程序開發(fā)人員解決這些問題，但 SBOM 幾乎是獨(dú)一無二的，它是一項領(lǐng)先于行業(yè)實(shí)踐而不是落后于行業(yè)實(shí)踐的法規(guī)?！皹I(yè)界還沒有為 SBOM 做好準(zhǔn)備，”Badwahr 說。自動生成通常不準(zhǔn)確且不完整?！叭绻覀円D(zhuǎn)向使用 SBOM 作為我們風(fēng)險分析的無可爭議的事實(shí)來源，我們需要解決這些問題。今天情況并非如此。”

盡管 OSS 生態(tài)圈對許多正在使用的商業(yè)應(yīng)用程序很重要，但它的脆弱性也值得考慮。Badwahr 指向 Core-JS?！癈ore-JS 是互聯(lián)網(wǎng)的基石。選擇任何互聯(lián)網(wǎng)應(yīng)用程序，你都可以確定它使用了 Core-JS?！?/p>

但是 Core-JS 由俄羅斯的 Denis Pushkarev 維護(hù)。他靠它過著相對微薄的生活——直到現(xiàn)在。西方對俄羅斯的財政捐助受到了西方貨幣制裁的打擊。根據(jù) The Stack 的一份報告，他被迫考慮替代方案，包括將其封閉源代碼和商業(yè)化。

事實(shí)上，OSS 生態(tài)圈的可持續(xù)性取決于其貢獻(xiàn)者的可持續(xù)性，而這與地緣政治的未來一樣難以預(yù)測。Endor 希望對主要 OSS 風(fēng)險的列舉能夠幫助應(yīng)用程序開發(fā)人員將注意力集中在使用開源軟件所涉及的風(fēng)險上——包括突然無人維護(hù)的軟件（風(fēng)險 #4）。

新聞名稱：開源代碼帶來的10大安全和運(yùn)營風(fēng)險
網(wǎng)頁網(wǎng)址：http://fisionsoft.com.cn/article/cccisie.html

新聞中心

其他資訊