成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

不要責(zé)怪開(kāi)源技術(shù) 它是無(wú)辜的

云計(jì)算
上個(gè)月,由于受到黑客攻擊, OnRamp免費(fèi)廣告服務(wù)被迫關(guān)閉,對(duì)數(shù)百萬(wàn)的網(wǎng)站造成嚴(yán)重影響。OnRamp的母公司 OpenX在其在論壇上發(fā)布了一份官方聲明,質(zhì)疑了開(kāi)源技術(shù)的安全性。

Sonatype的首席安全官Ryan Berg在Gigaom上撰文稱,我們不應(yīng)該把安全性問(wèn)題歸咎于開(kāi)源本身,事實(shí)上,專用軟件也會(huì)出現(xiàn)這樣的問(wèn)題。應(yīng)對(duì)安全問(wèn)題真正的做法應(yīng)該是注重產(chǎn)品生命周期內(nèi)的每個(gè)環(huán)節(jié),采取措施提高軟件開(kāi)發(fā)中每個(gè)方面的安全性。

以下為文章全文:

上個(gè)月,由于受到黑客攻擊, OnRamp免費(fèi)廣告服務(wù)被迫關(guān)閉,對(duì)數(shù)百萬(wàn)的網(wǎng)站造成嚴(yán)重影響。OnRamp的母公司 OpenX在其在論壇上發(fā)布了一份官方聲明,質(zhì)疑了開(kāi)源技術(shù)的安全性。

對(duì)此,表示,這不是一個(gè)開(kāi)源的問(wèn)題,并且我們不應(yīng)該把責(zé)任推給開(kāi)源用戶和生產(chǎn)廠商。開(kāi)源的經(jīng)濟(jì)和生產(chǎn)效率使得它幾乎是任何現(xiàn)代軟件應(yīng)用程序的強(qiáng)制組件。我們?cè)陂_(kāi)源上都獲得了巨大的好處——發(fā)展快速,重復(fù)利用經(jīng)過(guò)驗(yàn)證的組件,讓用戶能在專有領(lǐng)域的軟件特色上集中更多的時(shí)間。

這不僅僅證明了開(kāi)源的好處,更表明它是必要的。這也是為什么超過(guò)7萬(wàn)個(gè)企業(yè)在去年于Central Repository上為開(kāi)源組件處理了接近80億請(qǐng)求,覆蓋了所有主要類別的應(yīng)用程序,包括網(wǎng)絡(luò)、云、移動(dòng)和關(guān)鍵基礎(chǔ)設(shè)施。

不爭(zhēng)的事實(shí)是今天一個(gè)典型的軟件應(yīng)用程序中有超過(guò)80%的組裝是用現(xiàn)有的組件進(jìn)行組裝的,并且其中的絕大多數(shù)都是開(kāi)源的,來(lái)自數(shù)十個(gè),或數(shù)百個(gè)單獨(dú)項(xiàng)目。所有的垂直行業(yè),無(wú)論是監(jiān)管和非監(jiān)管,都在內(nèi)部和面向用戶的應(yīng)用程序中使用大量的開(kāi)源組件。

開(kāi)源是必要的

你可以把今天的軟件開(kāi)發(fā)組織想象成汽車制造商,開(kāi)發(fā)人員使用現(xiàn)有的部件或零件“組裝”應(yīng)用程序,而不是從頭編寫(xiě)應(yīng)用程序。但與制造業(yè)不同,軟件行業(yè)缺少必要的工具對(duì)一個(gè)復(fù)雜的分布式軟件供應(yīng)鏈的復(fù)雜性和風(fēng)險(xiǎn)性進(jìn)行管理。

基于組件的開(kāi)發(fā)需要管理,當(dāng)監(jiān)督不完整時(shí),安全問(wèn)題就會(huì)出現(xiàn)。簡(jiǎn)單地說(shuō),一個(gè)有缺陷的軟件供應(yīng)鏈意味著有缺陷的應(yīng)用程序。我們的研究表明,至少71%的應(yīng)用程序包含組件有已知的被列為嚴(yán)重或關(guān)鍵的安全漏洞。

Digital Forensics Association 發(fā)布的《 The Leaking Vault 2011》稱,在短短的時(shí)間里,有超過(guò)1560億美元的直接損失可以歸因于數(shù)據(jù)泄露。由Forrester和Veracode對(duì) 應(yīng)用風(fēng)險(xiǎn)管理進(jìn)行的一項(xiàng)的商業(yè)調(diào)查發(fā)現(xiàn),62%的受訪機(jī)構(gòu)表示,由于他們關(guān)鍵應(yīng)用中的缺陷,他們?cè)谶^(guò)去一年里發(fā)現(xiàn)漏洞。

減少不可避免的風(fēng)險(xiǎn)

現(xiàn)在,問(wèn)題就變成了如何在降低風(fēng)險(xiǎn)與部件消耗的同時(shí),實(shí)現(xiàn)開(kāi)源的好處。當(dāng)然,對(duì)開(kāi)源軟件來(lái)說(shuō),有不斷的和復(fù)雜的威脅,專有軟件同樣存在這樣的威脅。我們知道其中的危險(xiǎn)來(lái)自于使用已發(fā)現(xiàn)漏洞的過(guò)時(shí)組件,來(lái)自于沒(méi)有一個(gè)可強(qiáng)制執(zhí)行的開(kāi)源政策,并且開(kāi)源軟件沒(méi)有與管理組件執(zhí)照或許可證的依賴關(guān)系。

重要的是要明白,這是一個(gè)供應(yīng)鏈的問(wèn)題:你需要在軟件開(kāi)發(fā)生命周期(消費(fèi)、發(fā)展、集成和生產(chǎn)的過(guò)程)內(nèi)的每個(gè)階段管理組件。

降低安全風(fēng)險(xiǎn)

要降低安全風(fēng)險(xiǎn),我們要在組件層上加強(qiáng)整個(gè)對(duì)軟件開(kāi)發(fā)生命周期的保護(hù)措施,提高整個(gè)軟件供應(yīng)鏈的完整性。想象一下,如果一個(gè)流行的開(kāi)源組件中存在漏洞風(fēng)險(xiǎn),并且由于組件被許多應(yīng)用程序所使用,那么這個(gè)組件就會(huì)成為黑客眼中的一個(gè)香饃饃。

下面是減少風(fēng)險(xiǎn)的一些關(guān)鍵:

研究一個(gè)開(kāi)源的政策,如果你的組織還沒(méi)有的話。如果你有,則經(jīng)常檢查它。確保它對(duì)開(kāi)發(fā)團(tuán)隊(duì)來(lái)說(shuō)是明確的,并對(duì)安全管理的過(guò)程負(fù)責(zé),讓它得到每個(gè)人的支持。

確保你的政策為組件安全、許可和質(zhì)量屬性提供關(guān)鍵指南。除此之外,開(kāi)源的策略需包羅萬(wàn)象,概述組織的標(biāo)準(zhǔn)和價(jià)值觀,創(chuàng)建更多的指導(dǎo)方針來(lái)驅(qū)動(dòng)使用決策。

確保你的政策是可強(qiáng)制執(zhí)行的。如果沒(méi)有執(zhí)行能力,那么還有什么意義?紙上談兵的政策將被忽略,所以要尋找方法將執(zhí)行整合到軟件開(kāi)發(fā)過(guò)程本身。

為開(kāi)發(fā)人員提供所需要的信息,以便他們做出正確的選擇。你的開(kāi)發(fā)人員處于第一線,所以要給他們戰(zhàn)斗能力。讓他們能夠在初期檢測(cè)到缺陷或不符合規(guī)定的地方,盡早節(jié)省時(shí)間和資金。

理清生產(chǎn)、庫(kù)存組件和它們之間的依賴關(guān)系。在進(jìn)行故障排查的過(guò)程中了解你的應(yīng)用程序的構(gòu)成是成功的一半。

密切關(guān)注新發(fā)現(xiàn)的缺陷。新的漏洞可能會(huì)在任何時(shí)間出現(xiàn),當(dāng)一個(gè)新的漏洞出現(xiàn)時(shí),你要第一時(shí)間發(fā)現(xiàn),并知道哪個(gè)組件正在使用。

要有一個(gè)補(bǔ)救措施。不管發(fā)生在生命周期里的哪個(gè)環(huán)節(jié),都要知道如何進(jìn)行解決。修復(fù)缺陷并不總是容易的,所以我們需要擁有一個(gè)計(jì)劃。

無(wú)論是使用開(kāi)源軟件或?qū)S熊浖赓M(fèi)軟件或付費(fèi)軟件,都請(qǐng)記住這一點(diǎn):如果我們能通過(guò)建立良好的組件方法來(lái)維護(hù)組件層,那么對(duì)產(chǎn)品的整個(gè)生命周期都是有好處的。

責(zé)任編輯:王程程 來(lái)源: Gigaom
相關(guān)推薦

2009-04-24 14:45:08

SunMySQL甲骨文

2014-12-05 10:06:44

程序員

2019-12-16 09:40:18

中臺(tái)員工語(yǔ)言

2016-10-27 13:32:11

技術(shù)大會(huì)大數(shù)據(jù)WOT

2023-07-11 18:36:20

CloudReady開(kāi)源

2025-03-07 08:40:00

WAL數(shù)據(jù)庫(kù)分布式系統(tǒng)

2019-09-19 17:38:10

5G技術(shù)人生第一份工作

2020-11-23 09:47:39

技術(shù)資訊

2017-11-29 08:57:12

云計(jì)算技術(shù)物聯(lián)網(wǎng)

2018-01-29 09:42:27

創(chuàng)業(yè)技術(shù)團(tuán)隊(duì)

2024-11-26 06:53:01

雪花算法最大值

2013-12-19 09:56:46

開(kāi)源Simon Phipp

2020-11-17 16:22:45

開(kāi)源工具報(bào)表

2010-05-10 14:17:46

負(fù)載均衡技術(shù)

2012-08-20 09:41:05

開(kāi)源技術(shù)推特

2013-01-21 09:27:48

DLP

2009-02-17 10:12:10

ASP面試技術(shù)

2024-08-19 00:25:00

2020-09-11 08:41:50

域名系統(tǒng)DNS網(wǎng)絡(luò)

2024-11-15 16:15:59

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)

主站蜘蛛池模板: 免费观看一级毛片视频 | 91亚洲精品国偷拍自产在线观看 | 欧美综合国产精品久久丁香 | 国产农村一级国产农村 | 日韩精品一区二区三区免费观看 | 国产福利91精品一区二区三区 | 精品中文在线 | 伊人狠狠 | 亚洲免费毛片 | 亚洲情侣视频 | 5060网一级毛片| 国产高清精品在线 | 日韩www | 伊人久久免费视频 | 天天射天天操天天干 | 青青久在线视频 | 日韩欧美国产一区二区三区 | 99免费在线 | 午夜www| 免费簧片视频 | 91av免费看| 99re国产视频 | 一级黄色淫片 | 久久麻豆精品 | 超碰97人人人人人蜜桃 | 99免费精品视频 | 91精品国产综合久久精品 | 久久久www成人免费精品 | 影音av| 日本精品久久久久久久 | 国产黄色免费网站 | 一区二区三区电影网 | 日韩视频91| 福利在线观看 | 一区二区三区日韩 | 啪啪网页 | 黄色欧美视频 | 日韩在线视频一区 | 精品久久一区 | 美国十次成人欧美色导视频 | 国产精品视频在线观看 |