评估云应用程序安全性时不要忘记开源软件 (OSS)
在此处查看所有智能安全峰会点播会议。
软件开发过程正在加速。 DevOps 团队面临越来越大的进入市场的压力,他们能够快速工作,部分归功于开源软件包 (OSS)。
OSS 已经变得如此普遍,据估计 80-90% 的现代软件都包含它。但是,尽管它一直是软件开发的重要加速器,但 OSS 创造了一个需要保护的巨大区域,因为有数百万个匿名创建的包供开发人员用来构建软件。
大多数开源开发者都是出于善意行事;他们希望让可能遇到与他们正在寻求解决的相同挑战的其他开发人员的生活更轻松。这是一份吃力不讨好的工作,因为发布 OSS 包没有经济利益,而且评论线程中有很多负面反馈。根据 GitHub 的开源调查,“最常遇到的不良行为是粗鲁(45% 的目击者,16% 的经历者),其次是辱骂(20% 的目击者,5% 的经历者),以及刻板印象(11% 的目击者,3% 的经历者)经验)。”
不幸的是,并不是所有的 OSS 包都是可靠的。很难跟踪开源代码更改的归因,因此几乎不可能识别想要破坏代码完整性的恶意行为者。恶意开源软件包已被插入,以强调大公司使用这些软件包但不为其开发提供资金,而在其他时候则纯粹出于恶意原因。
事件按需智能安全峰会
了解 AI 和机器学习在网络安全和特定行业案例研究中的重要作用。观看今天的点播会议。
看这里如果一个 OSS 包被用来创建软件并且有一个漏洞,那么该软件现在也有一个漏洞。正如我们去年在 Log4j 中看到的那样,后门漏洞可能会危及数百万个应用程序。根据 OpenLogic 的开源状态报告,77% 的组织在过去一年中增加了对 OSS 的使用,36% 的组织表示增长显着。但 Linux 基金会的研究表明,只有 49% 的组织拥有涵盖 OSS 开发或使用的安全政策。
那么,您如何才能更好地了解 OSS 给您的云应用程序开发带来的风险并努力降低风险呢?
获得知名度了解您面临的威胁类型的第一步是了解您的应用程序的表面。将自动化集成到您的网络安全措施中以获得可见性......
在此处查看所有智能安全峰会点播会议。
软件开发过程正在加速。 DevOps 团队面临越来越大的进入市场的压力,他们能够快速工作,部分归功于开源软件包 (OSS)。
OSS 已经变得如此普遍,据估计 80-90% 的现代软件都包含它。但是,尽管它一直是软件开发的重要加速器,但 OSS 创造了一个需要保护的巨大区域,因为有数百万个匿名创建的包供开发人员用来构建软件。
大多数开源开发者都是出于善意行事;他们希望让可能遇到与他们正在寻求解决的相同挑战的其他开发人员的生活更轻松。这是一份吃力不讨好的工作,因为发布 OSS 包没有经济利益,而且评论线程中有很多负面反馈。根据 GitHub 的开源调查,“最常遇到的不良行为是粗鲁(45% 的目击者,16% 的经历者),其次是辱骂(20% 的目击者,5% 的经历者),以及刻板印象(11% 的目击者,3% 的经历者)经验)。”
不幸的是,并不是所有的 OSS 包都是可靠的。很难跟踪开源代码更改的归因,因此几乎不可能识别想要破坏代码完整性的恶意行为者。恶意开源软件包已被插入,以强调大公司使用这些软件包但不为其开发提供资金,而在其他时候则纯粹出于恶意原因。
事件按需智能安全峰会
了解 AI 和机器学习在网络安全和特定行业案例研究中的重要作用。观看今天的点播会议。
看这里如果一个 OSS 包被用来创建软件并且有一个漏洞,那么该软件现在也有一个漏洞。正如我们去年在 Log4j 中看到的那样,后门漏洞可能会危及数百万个应用程序。根据 OpenLogic 的开源状态报告,77% 的组织在过去一年中增加了对 OSS 的使用,36% 的组织表示增长显着。但 Linux 基金会的研究表明,只有 49% 的组织拥有涵盖 OSS 开发或使用的安全政策。
那么,您如何才能更好地了解 OSS 给您的云应用程序开发带来的风险并努力降低风险呢?
获得知名度了解您面临的威胁类型的第一步是了解您的应用程序的表面。将自动化集成到您的网络安全措施中以获得可见性......
What's Your Reaction?
