Sonatype的首席安全官Ryan Berg在Gigaom上撰文称,,我们不应该把安全性问题归咎于开源本身,事实上,专用软件也会出现这样的问题。应对安全问题真正的做法应该是注重产品生命周期内的每个环节,采取措施提高软件开发中每个方面的安全性。
以下为文章全文:
上个月,由于受到黑客攻击, OnRamp免费广告服务被迫关闭,对数百万的网站造成严重影响。OnRamp的母公司 OpenX在其在论坛上发布了一份官方声明,质疑了开源技术的安全性。
但是业内更加倾向于认为:这不是一个开源的问题,并且我们不应该把责任推给开源用户和生产厂商。开源的经济和生产效率使得它几乎是任何现代软件应用 程序的强制组件。我们在开源上都获得了巨大的好处——发展快速,重复利用经过验证的组件,让用户能在专有领域的软件特色上集中更多的时间。
这不仅仅证明了开源的好处,更表明它是必要的。这也是为什么超过7万个企业在去年于Central Repository上为开源组件处理了接近80亿请求,覆盖了所有主要类别的应用程序,包括网络、云、移动和关键基础设施。
不争的事实是今天一个典型的软件应用程序中有超过80%的组装是用现有的组件进行组装的,并且其中的绝大多数都是开源的,来自数十个,或数百个单独项目。所有的垂直行业,无论是监管和非监管,都在内部和面向用户的应用程序中使用大量的开源组件。
开源是必要的
你可以把今天的软件开发组织想象成汽车制造商,开发人员使用现有的部件或零件“组装”应用程序,而不是从头编写应用程序。但与制造业不同,软件行业缺少必要的工具对一个复杂的分布式软件供应链的复杂性和风险性进行管理。
基于组件的开发需要管理,当监督不完整时,安全问题就会出现。简单地说,一个有缺陷的软件供应链意味着有缺陷的应用程序。我们的研究表明,至少71%的应用程序包含组件有已知的被列为严重或关键的安全漏洞。
Digital Forensics Association 发布的《 The Leaking Vault 2011》称,在短短的时间里,有超过1560亿美元的直接损失可以归因于数据泄露。由Forrester和Veracode对 应用风险管理进行的一项的商业调查发现,62%的受访机构表示,由于他们关键应用中的缺陷,他们曾在过去一年里发现漏洞。
减少不可避免的风险
现在,问题就变成了如何在降低风险与部件消耗的同时,实现开源的好处。当然,对开源软件来说,有不断的和复杂的威胁,专有软件同样存在这样的威胁。 我们知道其中的危险来自于使用已发现漏洞的过时组件,来自于没有一个可强制执行的开源政策,并且开源软件没有与管理组件执照或许可证的依赖关系。
重要的是要明白,这是一个供应链的问题:你需要在软件开发生命周期(消费、发展、集成和生产的过程)内的每个阶段管理组件。
降低安全风险
要降低安全风险,我们要在组件层上加强整个对软件开发生命周期的保护措施,提高整个软件供应链的完整性。想象一下,如果一个流行的开源组件中存在漏洞风险,并且由于组件被许多应用程序所使用,那么这个组件就会成为黑客眼中的一个香馍馍。
下面是减少风险的一些关键:
无论是使用开源软件或专有软件,免费软件或付费软件,都请记住这一点:如果我们能通过建立良好的组件方法来维护组件层,那么对产品的整个生命周期都是有好处的。 (王旭东/编译 仲浩/审校)
原文:
译文:
你让我尝到了每时每刻想你的疼苦,
