开源软件安全挑战依然存在但风险可控,本文是一篇关于开源软件论文范文,可作为相关选题参考,和写作参考文献。
开源软件论文参考文献:
使用开源组件节省了开发人员的时间和企业成本.换句话说,还是有市场的.本文简要介绍怎样提高开源代码的安全性.
今年的Equifax泄露事件给我们敲响了警钟,开源软件和组件虽然有很多好处,但却给企业安全带来了巨大的风险,特别是在维护不当的情况下.
所有纵向行业各种规模的企业现在都在使用开源软件.有开源操作系统、生产效率软件、管理员和开发人员的工具,以及企业用来开发自己的软件的代码库.甚至商业软件通常也是在开源代码的基础上开发的.
Kudelski安全公司的首席技术官Andrew Howard表示:“我看到开源软件在企业中的应用越来越广泛.随着企业转向敏捷方法,开源变得更有价值,并且有很多可供使用的工具.您可以注意一下刚刚进入市场的软件开发新手,他们经过培训,非常适应开源技术.”
开源代码的安全优势
Howard说,开发人员非常依赖于开源软件,尤其愿意采用有大规模团队进行维护的大型开源项目.此外,还可以通过很多相关方来保证安全.他说:“这是使用开源软件的主要优势,而不仅仅是为了降低成本.理论上有更多的相关方关注它.”尽管他补充说,这不适用于小项目或者代码库,“有些软件还没有相关的社区.”
开源软件的另一个安全优势是,如果有问题,企业可以立即打开它并进行修改.Synopsys公司的开源解决方案经理Mel Llaguno说:“如果代码是根据专有协议授权的,那企业通常必须等待供应商的回应.”
为什么开源软件会带来安全威胁?
Synopsys管理的Coverity是一项免费服务,用于扫描开源软件的漏洞.Llaguno说:“总体上,开源软件的质量一直在稳步提高.我们的扫描项目涉及到大约7.5亿行开源代码,发现了110万个漏洞——并且已经解决了65万个漏洞.”他补充说,很多项目,尤其一些小项目,都不会扫描它们的代码以发现潜在的安全漏洞.
例如,Black Duck软件公司跟踪了55万多个项目中的100多亿行开源代码.而且这还不是全部.Linux基金会报告说,已经有310亿行代码被提交给了开源代码库.
谁在使用所有这些开源代码?所有人.根据最新的Black Duck报告,目前96%的商业应用软件中都有开源组件.应用程序平均有147个不同的开源组件,67%的应用程序使用了含有已知漏洞的组件.
美国政府资助了公共漏洞枚举(CVE)名录和国家漏洞数据库.2017年,CVE名录中新增了8千多个漏洞,创历史新高.
那么,为什么企业要使用开源软件呢?Synopsys公司的Black Duck安全策略师Mike Pittenger指出:“在一般的应用软件中,三分之一以上的代码都是开源的.如果想替换这些三分之一的代码库,那么您将不得不增加开发团队的人手,开发时间会延长50%——在当今的环境下,我认为这不是可行的选择.”
以伦敦的Skyscanner有限公司为例,该公司生产旅行搜索引擎.公司习惯于在.NET这样的私有封闭的平台上运行.Skyscanner的安全工程师Alex Harriss说,过去几年中,公司转向采用各种开发语言和技术,包括开源.他说:“这意味着我们的工程师现在可以参考多种开源库,几分钟内就能够部署好代码.”
Harriss说,但这也带来了安全难题.他说:“我认为事实上有一种错误的导向,即作为开源,社区已经对这些库进行了安全漏洞检查.实际情况并非总是如此.”
他说,很多文件齐全的库中都存在着已知的漏洞.由于工程师只需从这些库中提取代码并进行部署,因此这就带来了可见性问题.他说:“我们根本不清楚我们产品有多大的依赖性.”
需要对开源软件安全进行详细的尽职调查
并非Skyscanner一家是这样.据最新的Veracode报告,只有28%的企业进行定期分析,找出哪些组件被构建到了他们的应用程序中.随着开源代码使用的越来越多,风险面也在扩大.
在开源代码中不断发现新的漏洞,很多项目还没有发现和修复问题的机制.据Snyk最近对开源代码维护人员的调查,44%的受访者从未进行过安全审计,只有17%的受访者说他们有高水平的安全技能.
也没有标准的方法来记录开源项目的安全性.在GitHub上的40万个公共代码库中,只有2.4%有安全文档.
那么,如果修复了问题,常常无法找到并通知老代码的所有用户.Black Duck的Pittenger说:“开源社区并不知道谁在使用他们的组件.”
据Snyk调查,88%的开源代码维护人员在发布声明中添加了和安全相关的声明,34%的维护人员不赞成使用不安全的老版本.25%的维护人员表示,他们根本没有精力来通知用户有漏洞,只有10%的维护人员向CVE提交了文件.
Snyk有限公司的首席执行官和联合创始人Guy Podjarny指出,很多人并不知道CVE过程是怎样工作的,或者没有时间去了解它.他说:“例如,在JavaScript中,我们跟踪的漏洞中只有13%的漏洞有一个CVE编码.其余的则只是被记录为缺陷.”
Snyk的安全研究部门通过查找发布声明以及GitHub和Apache问题跟踪系统中的线索,来寻找开源库安全问题的迹象.研究结果发布在漏洞数据库中,并且可能的话,Snyk也会将其提交给CVE名录.
然而,要获得CVE是一个比较复杂的过程,需要委员会同意提供详细的CVE,还需要和项目所有者达成协议.Podjarny说:“目前这种方法的运作方式还形不成规模.”
最后,如果发现并修补了漏洞,并且公布了補丁,那么使用这些代码的企业也不一定知道自己是不是有漏洞,或者难以找到所有实例中的漏洞.例如,今年影响很大的Equifax泄露事件涉及到Apache Struts开源软件的一个漏洞.在泄露事件发生几个月之前就发布了补丁,Equifax虽然知道补丁,但仍然没有及时打上补丁.
结论:关于对不知道怎么写开源软件论文范文课题研究的大学硕士、相关本科毕业论文开源是什么意思论文开题报告范文和文献综述及职称论文的作为参考文献资料下载。
计算机软件安全技术在气象业务中应用
摘要:当前的经济、社会快速发展的过程中,计算机软件技术已经广泛的应用在气象业务中,满足了人们日益增长的对气象服务的需求,促进了气象事业的发展。但。
计算机软件安全检测方法分析
摘要:随着科学技术的不断进步和发展,计算机软件已经广泛的应用到了人们的日常生活和工作之中,给整个社会的进步和人类的发展都带来了巨大的影响作用,而。
P风险防控易通贷解读网贷平台安全维度
站在“互联网+”风口,P2P网贷正一路高歌猛进。然而P2P行业风生水起的背后,却是乱象丛生。针对当下行业乱局、信息安全与风险防控方面的问题,由“。
维护我国金融安全亟需自主研发银行风险管理系统
摘要:为提高银行业整体风险管理水平,银监会一直在积极推进国内银行实施巴塞尔新资本协议。为此,国内一些银行已经或正在构建以风险价值(VaR)为核心。