随着越来越多的安全公司在其软件中依赖开源组件,保护这些组件的解决安全变得越来越重要。在今天进行的谷歌一项Google活动中,开源专家探讨了如何确保开源软件的专家战和安全。援引外媒 Dark Reading 报道,探讨这些讨论的开源话题还包括公司应该优先考虑什么,以及采取什么样的软件措施来改善开源安全的现状。
Synopsys 公司指出,安全平均每个软件程序至少依赖 500 个开源库和组件,解决比 2 年前的谷歌 298 个依赖项增长了 77%。一般软件程序中超过 75% 的代码由开源库和组件组成,84% 的应用程序至少有一个漏洞,平均每个应用程序有 158 个。
在关于开源供应链安全的演讲中,Google软件工程师 Dan Lorenc 建议公司了解他们在使用什么。他承认,这一步看起来很明显,但并不容易,特别是当开发者开始创建和发布工件,并将工件与其他工件结合起来时。当一个漏洞被报告时,不管是无意的还是恶意的,不知道什么在操作,都会让你陷入困境。
治理和不断审计新的依赖关系,无论是内部还是开放源码,都是保障软件的有效策略。Lorenc 补充说,这种控制也可以延伸到你使用的组件,并指出这对大多数公司来说也是一个困难的步骤。此外,要验证二进制包的内容是很困难的,但也不一定非要全盘否定。另一方面,生成和编译代码是开放源码的一部分。知道你可以在需要时进行构建是成功的一半,表明你对进入你的应用程序的代码有控制权。
Lorenc 强调,企业应该有计划地处理零日漏洞和已知问题。零日漏洞通常情况下会称为头条更容易受到关注,企业应该有一个应急策略来迅速修补它们。此外,一些老的漏洞由于关注度不高而始终没有得到修复。在运行各种环境和系统的大型组织中,这些问题很容易被忽视。
责任编辑:未丽燕 来源: cnBeta.COM 谷歌开源安全(责任编辑:休闲)
傲农生物(603363.SH):控股股东质押700万股 累计质押公司股份1.27亿股
年内15家银行发行永续债近5700亿元 中小银行永续债发行加速
消息:上交所首批信用保护凭证落地 4单合计有效支持债券融资44.6亿元
科创板“试验田”优化资本市场生态 形成多维度可复制可推广经验
机构称春季躁动行情低估值股为配置首选 多路资金涌入银行板块扫货