最新公告
  • 欢迎您光临站壳网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 免费开源软件的潜在安全风险

    正文概述 webmaster   2020-03-2   324

    Linux基金会和哈佛大学创新科学实验室的研究人员进行了广泛调查和深入研究,得出了有关企业内常用的免费开源软件(FOSS)的一些重要结论与潜在安全风险。

    免费开源软件的潜在安全风险

    研究人员发现,由于缺少针对FOSS组件的标准化命名方案,企业和其他股东难以快速、准确地识别可疑或易受攻击的组件。

    其次,他们还发现,需要更加安全地保护开发人员的账号,那些积极为某些广泛部署开源软件做贡献的人员。第三个发现是,与其他较旧的硬件或软件技术一样,开源社区中的旧版软件包日益危险。

    《哈佛商学院》的合著者Frank Nagle教授说:“ FOSS组件几乎是所有其他软件的基础,无论是开放的还是专有的,但我们对软件的常用性或安全性信息知之甚少。考虑到了免费开源软件可能对经济产生的影响,但却很少人考虑到支持和维护这一核心基础架构的系统性工作。”

    免费开源软件的潜在安全风险

    在这项研究中,Linux基金会和哈佛大学的研究人员分析了企业软件的使用数据,这些数据由软件合成分析公司和应用安全公司提供,例如Snyk和Synopsys网络安全研究中心。在确定常用的开源软件时,研究人员考虑了FOSS软件包或组件与其他企业应用程序和系统之间可能存在的从属关系。

    目的在于确定和衡量企业环境中常用的FOSS,了解该软件的安全性等。FOSS组件几乎占企业当前正在使用的所有应用程序的80%至90%。尽管许多FOSS项目有接受安全检查,但是很多还没有。

    研究人员在本周发布的一份报告中说,在诸如OpenSSL之类的有小部分贡献者基础的常用项目中,漏洞通常会被忽略。随着对FOSS的依赖日益增长,政府、研究人员和组织通过审核、漏洞赏金计划、黑客马拉松和会议更好地了解开源软件的来源和安全。Nagle说:“第一步是要真正了解企业所依赖的FOSS组件。无论是通过定期的安全扫描和代码审计,还是通过其数字产品采用的软件材料清单。”

    顶级项目和顶级风险

    Linux基金会与哈佛大学创新科学实验室的联合研究表明,企业内10个最常用的FOSS软件包是async,inherits,isarray,kindof,lodash,minimist,native,qs,readable-stream和string-decoder。研究人员还确定了最常用的非JavaScript程序包,其中包括com.fasterxml.jackson.core:jackson-core,com.fasterxml.jackson.core:Jackson-databind,com.google.guava:guava和commons -codec。

    免费开源软件的潜在安全风险

    在确定了最重要的项目之后,研究人员着手寻找这些项目中最活跃的贡献者,并确定了其中约75%的公司从属关系。在研究过程中,研究人员发现,最常用的七个开源软件项目中的七个托管在开发人员个体账号上,其安全性比企业账号更弱。报告警告说:“个体账号的开发人员控制和更改代码非常容易实现,无需检测即可进行。”

    此外,根据研究人员的说法,对开发人员个体账号的攻击正在增加,利用账号接管、后门和其他恶意代码等实现代码访问的风险越来越大。Nagle说:“如果这类个人账号的存储库支持的话,可以执行两因素身份验证。”

    个人账号控制的常用FOSS的另一个风险是开发人员,他们有删除账号或删除有争议和分歧代码的决定权。Nagle指出:“更广泛和长期的解决方案是,将此类项目转移到企业账号,而不是由个人账号控制,这有助于增强项目的归责性和将来的可用性。”

    研究表明, FOSS组件需要有更好的命名规则。Nagle表示,由于FOSS可以自由修改和复制,因此可以有多个版本,分支和类似名称的存储库。为了进一步确保安全,重要的是对正在使用的FOSS组件情况以及支持和维护工作有个共识。

    研究人员的另一个发现是,与旧版不受支持的软件或硬件版本一样的是,旧版开源组件也面临风险。例如,Nagle指出了常用的PuTTY SSH软件的0.70版,该软件于2017年7月发布。将近两年后,直到2019年3月该软件的更新0.71版才发布。像这样常用软件的更新和检查就可以解决存在于代码库20多年的安全问题了。”

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 免费开源软件的潜在安全风险

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者
    • 575会员总数(位)
    • 4697资源总数(个)
    • 121本周发布(个)
    • 17 今日发布(个)
    • 175稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情