随着越来越多的公司在其软件中依赖开源组件,保护这些组件的安全变得越来越重要 。在今天进行的一项Google活动中,开源专家探讨了如何确保开源软件的安全 。援引外媒 Dark Reading 报道,这些讨论的话题还包括公司应该优先考虑什么,以及采取什么样的措施来改善开源安全的现状 。
Synopsys 公司指出,平均每个软件程序至少依赖 500 个开源库和组件,比 2 年前的 298 个依赖项增长了 77% 。一般软件程序中超过 75% 的代码由开源库和组件组成,84% 的应用程序至少有一个漏洞,平均每个应用程序有 158 个 。
文章图片
在关于开源供应链安全的演讲中,Google软件工程师 Dan Lorenc 建议公司了解他们在使用什么 。他承认,这一步看起来很明显,但并不容易,特别是当开发者开始创建和发布工件,并将工件与其他工件结合起来时 。当一个漏洞被报告时,不管是无意的还是恶意的,不知道什么在操作,都会让你陷入困境 。
【Google|谷歌专家探讨开源软件安全的挑战和解决方案】
文章图片
治理和不断审计新的依赖关系,无论是内部还是开放源码,都是保障软件的有效策略 。Lorenc 补充说,这种控制也可以延伸到你使用的组件,并指出这对大多数公司来说也是一个困难的步骤 。此外,要验证二进制包的内容是很困难的,但也不一定非要全盘否定 。另一方面,生成和编译代码是开放源码的一部分 。知道你可以在需要时进行构建是成功的一半,表明你对进入你的应用程序的代码有控制权 。
Lorenc 强调,企业应该有计划地处理零日漏洞和已知问题 。零日漏洞通常情况下会称为头条更容易受到关注,企业应该有一个应急策略来迅速修补它们 。此外,一些老的漏洞由于关注度不高而始终没有得到修复 。在运行各种环境和系统的大型组织中,这些问题很容易被忽视 。
推荐阅读
- 注册gmail邮箱账号 怎么注册谷歌邮箱
- 谷歌董事长:时过境迁 垄断地位受到威胁
- 畸胎瘤对胎儿的影响有哪些
- 专家告诉你什么人群鞋底总是磨损
- 听信伪专家搞得不敢喝水了 保健水到底应该怎么喝
- 专家指出 熬汤有“七要”(烹饪技巧)
- 如厕做一件事防乳腺增生
- 敏感肌肤 春季如何处理皮肤过敏
- 专家称黑芝麻等食物能养肾(五谷食疗)
- 专家:吃大蒜也分人群(蔬菜食疗)