2、开源社区需要聚焦安全而且要快
时间:2022-03-27 20:12:01 | 来源:行业动态
时间:2022-03-27 20:12:01 来源:行业动态
开源模式就本质而言其设置并非是为了生成完全安全的代码。开源模式下某个项目可能数以百万计的贡献者来自世界各地,用到的重要软件工具资源可自由使用,而且项目维护者名册不断变化,这时,安全问题很容易被忽视。
问题是,威胁者也知道这一点,他们正在利用这一点进行获利。2017年的Equifax漏洞泄露了1.47亿人的个人信息,原因是Apache Struts一个未打补丁的开源版本漏洞被利用。
威胁面涉及到开发人员使用的工具以及他们存储这些工具的地方。去年12月曾报道过两个恶意软件包被发布到NPM网站,NPM网站是JavaScript开发人员用来分享代码块的代码库。此外,GitGuardian的一项分析仅在2020年就找到200万个未公开密码以及存储在公共Git存储库的识别凭证。
NCC集团高级副总裁兼全球研究主管Jennifer Fernick表示,事情并没有变得好一些,再加上应用程序的复杂性也在增加。上报的开源软件漏洞数量每年都在增长。如果不认真地进行协调干预,我认为情况会越来越糟。
在线咨询
