增强软件安全还需合理管理开源
发布时间:2022-05-09 10:10:48 所属栏目:安全 来源:互联网
导读:现在许多公司越来越明白这一点:想比竞争对手更迅速地开发出质量更好的创新软件,关键在于借助使用开源软件(OSS)。在如今的产品生命周期所需的速度和成本约束下,仅仅使用商用代码、将软件投向市场,这几乎是不可能实现的任务。要是没有能力选择和整合同类中
|
现在许多公司越来越明白这一点:想比竞争对手更迅速地开发出质量更好的创新软件,关键在于借助使用开源软件(OSS)。在如今的产品生命周期所需的速度和成本约束下,仅仅使用商用代码、将软件投向市场,这几乎是不可能实现的任务。要是没有能力选择和整合同类中***的OSS,一些最出色的产品点子可能永无出头之日。 里面的代码很重要 Heartbleed软件错误提醒广大开发人员和公司企业安全到底有多重要。虽然之前就有围绕专有软件或开源软件哪个更安全这个广泛的争论,但这个争论基本上没啥意义。事实上,代码缺陷存在于大多数软件当中,不管代码来自专有软件还是开源软件,有些代码缺陷影响安全性。 当开源与内部的专有代码整合起来时,安全挑战可能显得尤为错综复杂。除了未合理管理许可证合规这个明显的风险外,在整个企业组织跟踪代码来源和使用情况可能很快会变得非常困难。 想真正准确地了解贵企业面临的潜在安全漏洞,就要明白三个问题: 1.贵企业目前的产品和应用程序中有什么代码? 2.开发过程的前期使用了什么代码?开发人员又从哪里获得了这些组件? 3.开发过程的后期使用了什么代码?代码在部署之前需要在哪里加以验证? 评估形势 如果贵企业之前从未对照安全漏洞数据库审查过自己的代码,这可能是一项艰巨的任务。幸好,有些工具可以充分利用这些数据库,定期自动识别所有的开源安全漏洞,警报并跟踪受影响的组件在哪里使用、在哪里需要补救。 防止未来的问题 大多数开发人员之所以被OSS所吸引,原因在于OSS易于访问、随意获取,通常让他们可以摈弃正规的采购流程。不过,虽然许多开发公司对开源使用有相应的政策或准则,但这些政策或准则并不总是得到落实,常常没有受到合理的监控。查明什么代码进入贵企业、代码是否获准使用以及它在贵企业的哪个部门使用,这点很重要。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号