保護企業系統中的程式碼安全
隨著企業越來越依賴開原始碼,在享受使用開原始碼便利的同時,開原始碼的安全問題也成為企業的”安全噩夢“。
開原始碼是一把雙刃劍
開源的核心是即用型軟體,可以幫助團隊縮短開發時間提高開發人員效率。但開放原始碼是在社群參與的基礎上開發。如果社群對專案失去興趣,或者關鍵人員被召集到另一個專案中工作,開發就會停滯。此外,由於開發人員認為定位和修復bug是社群的責任,所以bug可能會被忽略。當社群對漏洞或缺陷的修補緩慢時,安全問題也將帶入到企業當中。
在面對開源元件時,儘管企業中的許多人依賴開原始碼,但他們很可能不將程式碼視為自己的程式碼,並且通常不會將相同的安全控制應用於他們自己的本地構建程式碼。這意味著開源庫經常逃避安全測試和程式碼審查,這會使得缺陷和安全漏洞可以在基礎層嵌入產品當中。
企業可以採取一些措施來保護開原始碼的安全性,如使用SCA工具來掃描所有的開源庫;預先構建安全性以在基礎級別保護開原始碼。應用安全控制,讓工程團隊進行測試,進行程式碼審查,並透過攻擊者角度的行為分析來減輕威脅。
預先構建安全性以保護基礎級別的開原始碼。應用安全控制,讓工程團隊進行測試,進行程式碼審查,並使用以攻擊者為中心的行為分析來緩解威脅。
自研程式碼安全性
Forrester首席分析師Condo曾表示,企業需要在軟體開發的早期關注安全問題。除了要確定開源依賴項帶來安全問題並將其排除在外,同樣要注意的是,在自研程式碼中存在的安全漏洞一樣需要及時檢測 靜態程式碼安全和修正缺陷。
資料顯示,在軟體測試、釋出階段糾正缺陷的成本是編碼階段發現並糾正缺陷的成本的15-90倍,如果在交付使用者之後才發現並解決缺陷,這個數字將達到50-200倍。因此,在編碼實現階段發現並解決儘可能多的缺陷,能夠極大降低缺陷管理成本,據相關統計數字估計,這個成本至少可以降低1/3。
Condo表示,在軟體開發初期不夠關注靜態程式碼及開源元件的安全,就會製造更多的技術債務和安全問題,將不得不以更昂貴的方式處理下游問題。
安全應該成為整個軟體開發鏈的一部分,諸如如何更安全的開發軟體、保護API安全和資料安全,並建立安全相應機制。
文章來源:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2895811/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 19-作業系統安全保護作業系統
- CRM如何保護企業資料安全?
- 程式碼伺服器安全保護(二)伺服器
- 企業及個人如何有效保護資料安全?
- 企業WiFi認證 保護企業的資訊WiFi
- 為資料安全保駕護航,華為雲助力企業快速安全過“等保”
- 企業上雲安全實踐——公有云業務系統安全威脅與防護
- Ftrans跨網檔案安全交換系統:企業資料安全的守護者!
- 小心設定啟動項保護Windows系統安全Windows
- 如何確保CRM系統在企業中順利推行?
- Sectigo:20%中小企業遭到駭客攻擊,企業應如何保護網站安全?Go網站
- 保護資料安全與隱私,讓企業資料跨境安全合規
- 視訊通訊保障系統為‘救護車安全保駕護航’
- 阿里雲程式碼管理平臺 Teambition Codeup(行雲)亮相,為企業程式碼安全護航阿里
- 交易所開發系統最主要的要能保護交易安全
- 企業中的低程式碼與無程式碼
- 如何保護頁面端的企業郵箱
- 如何使用代理保護企業網路?
- 如何保護企業免受黑客攻擊?黑客
- 華為雲網站安全方案為企業資料保駕護航網站
- 如何透過檔案外發管理系統,保護企業機密資料不外洩?
- 眾至科技資料防洩露系統,保護企業辦公核心資料
- windows10系統開啟系統保護的方法Windows
- 《個人資訊保護法》正式實施,企業如何保證資料安全合規?
- 保護企業網站安全,華為雲網站安全解決方案有絕招網站
- 企業WiFi認證,如何保證企業WiFi安全?WiFi
- 打造全棧安全防護體系,華為雲等保合規解決方案幫企業30天過等保全棧
- 企業WiFi管理 保護我們的資訊保安WiFi
- win10系統如何關閉密碼保護共享Win10密碼
- 綠盟一體化終端安全管理系統+CWPP理念,助力提升企業安全防護能力
- 平臺+生態,華為憑什麼為企業安全保駕護航?
- 華為雲資料災備,為企業資料安全保駕護航
- 保護網站安全網站
- Zoho CRM系統保護使用者隱私和資料安全
- 網路安全保險守護企業安全|綠盟科技聯合前海財險釋出網路安全保險服務2.0業務
- 企業WiFi認證,怎麼確保企業WiFi安全?WiFi
- 程式碼簽名證書——企業程式碼安全的不二之選!
- 如何有效保護生物醫藥企業隔離網資料匯出的安全性?