保護企業系統中的程式碼安全

隨著企業越來越依賴開原始碼，在享受使用開原始碼便利的同時，開原始碼的安全問題也成為企業的”安全噩夢“。

開原始碼是一把雙刃劍

開源的核心是即用型軟體，可以幫助團隊縮短開發時間提高開發人員效率。但開放原始碼是在社群參與的基礎上開發。如果社群對專案失去興趣，或者關鍵人員被召集到另一個專案中工作，開發就會停滯。此外，由於開發人員認為定位和修復bug是社群的責任，所以bug可能會被忽略。當社群對漏洞或缺陷的修補緩慢時，安全問題也將帶入到企業當中。

在面對開源元件時，儘管企業中的許多人依賴開原始碼，但他們很可能不將程式碼視為自己的程式碼，並且通常不會將相同的安全控制應用於他們自己的本地構建程式碼。這意味著開源庫經常逃避安全測試和程式碼審查，這會使得缺陷和安全漏洞可以在基礎層嵌入產品當中。

企業可以採取一些措施來保護開原始碼的安全性，如使用SCA工具來掃描所有的開源庫;預先構建安全性以在基礎級別保護開原始碼。應用安全控制，讓工程團隊進行測試，進行程式碼審查，並透過攻擊者角度的行為分析來減輕威脅。

預先構建安全性以保護基礎級別的開原始碼。應用安全控制，讓工程團隊進行測試，進行程式碼審查，並使用以攻擊者為中心的行為分析來緩解威脅。

自研程式碼安全性

Forrester首席分析師Condo曾表示，企業需要在軟體開發的早期關注安全問題。除了要確定開源依賴項帶來安全問題並將其排除在外，同樣要注意的是，在自研程式碼中存在的安全漏洞一樣需要及時檢測 靜態程式碼安全和修正缺陷。

資料顯示，在軟體測試、釋出階段糾正缺陷的成本是編碼階段發現並糾正缺陷的成本的15-90倍，如果在交付使用者之後才發現並解決缺陷，這個數字將達到50-200倍。因此，在編碼實現階段發現並解決儘可能多的缺陷，能夠極大降低缺陷管理成本，據相關統計數字估計，這個成本至少可以降低1/3。

Condo表示，在軟體開發初期不夠關注靜態程式碼及開源元件的安全，就會製造更多的技術債務和安全問題，將不得不以更昂貴的方式處理下游問題。

安全應該成為整個軟體開發鏈的一部分，諸如如何更安全的開發軟體、保護API安全和資料安全，並建立安全相應機制。

文章來源：

https://www.darkreading.com/application-security/the-industry-must-better-secure-open-source-code-from-threat-actors