为何打造开源生态系统不会带来安全风险
为何打造开源生态系统不会带来安全风险
2017-07-31 09:20:56 来源:e行网抢沙发
2017-07-31 09:20:56 来源:e行网
摘要:任何使用技术的人都会因开源软件而受益。我们使用的大部分应用都在不同程度上融入了开源代码。此外,也不仅仅是无足轻重的开发人员才会使用此类代码,很多大型企业都会依靠开源软件来构建自己的产品和解决方案。
关键词:
安全
任何使用技术的人都会因开源软件而受益。我们使用的大部分应用都在不同程度上融入了开源代码。此外,也不仅仅是无足轻重的开发人员才会使用此类代码,很多大型企业都会依靠开源软件来构建自己的产品和解决方案。
因此,明智的 CIO 会敦促开发人员遵循同样的原则。不过,有些开发人员会对开源软件产生顾虑。他们会思考,在一个开放的环境下,任何贡献者都有可能在全局资源库中投放恶意代码。因此,依赖这些开发资源是否是安全或明智的选择?
即便如此,这些开发人员也没有很多更好的选择。如果他们想要保持竞争优势,就必须利用这些资源库来为自己创造价值。不过,误解的产生也可能源自开源软件带来的安全风险。尽管开发人员对资源库安全方面的担忧不无道理,但我们可以通过多种途径来规避这些风险,确保生态系统能够在安全和敏捷性方面提供双重保障。
了解安全风险
人们之所以认为开放式环境不够安全,主要是担心开放式资源库的漏洞问题无法解决。过去,Heartbleed、Shellshock 等漏洞曾导致了严重的安全问题,这表明开源软件损坏后会带来诸多方面的隐患。
虽然此类攻击并不常见,但由此产生的风险却是大部分开发人员所无法承担的。Mozilla 指出,这些严重的威胁只会让事态进一步恶化,随着移动技术与医疗保健技术相集成,自动驾驶车辆及其他创新技术的发展,人们甚至会面临更大的生命风险。相比家用台式电脑因病毒感染而崩溃,在公路上驾驶车辆时受到病毒攻击的危险程度要高得多。因此,安全举措受到了越来越多人的关注。
不过,我们不应就此退缩,完全丧失信心。由于开源生态系统存在的漏洞和安全威胁引起了广泛关注,大家都在尝试开发更多工具来检测这些威胁,而开发人员社区也越来越普遍地认识到与此相关的问题。通过结合使用安全工具、深入交流潜在及确知的安全风险,开发人员可以放心地将开放式环境作为获取资源的可靠途径。
确保开源环境安全
与全球开发人员社区进行交流有着非常重要的意义。通过留言板及其他专业交流渠道,开发人员能够深入了解开放式资源库,并围绕安全问题展开对话。举例来说,Sonatype Nexus Repository OSS 是一个开放代码库,可提供多个版本的代码,以确保开发人员能够获取最新版本的代码。换言之,前期版本中发现的安全问题将更有可能得以解决。
此外,开发人员还应该有自己的工具来检查漏洞。根据所用编程语言的不同,我们可以在构建测试框架时按需选择一些值得信赖的工具。代码的测试应持续进行,以确保其在执行时符合预期要求。
尽管我们无法保证开放式开发是一种绝对安全的方式,但任何形式的开发都是如此。即使是通过商业途径购买的代码也会为我们带来一定的挑战和风险。开发人员需要就代码展开尽职调查,主动执行测试并反复核查手头的工作,以确保当前采用的开放式生态系统能够迅速追踪创新情况,而不至于加大安全威胁。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:yulina
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。