實現(xiàn)開源軟件安全,開發(fā)人員需要考量的三大關鍵因素

  • 人閱讀
  • 2024-04-26 12:03:48

  • 來源:比特網(wǎng)

  • 相關關鍵詞

作者:JFrog大中華區(qū)總經(jīng)理董任遠

網(wǎng)絡威脅變幻莫測,最近備受矚目的開源軟件安全事件(如log4Shell、Solar Winds、Colors and Fakers等)及其對全球數(shù)以千計公司造成的災難性影響,凸顯了企業(yè)目前在強化數(shù)字環(huán)境方面所面臨的挑戰(zhàn)。例如,IDC的一項調(diào)查顯示,雖然2022年一年內(nèi)全球就有超過1,000萬人和1,700家實體受到開源軟件供應鏈攻擊的影響,但仍有87%的受訪者青睞繼續(xù)使用開源組件來構(gòu)建軟件。使用開源代碼的人日益增多,這帶來不可否認的優(yōu)勢,促進合作開發(fā),加快發(fā)展進程。然而,也必須認識到,這種整合存在風險。

開源代碼的崛起:一把雙刃劍

有行業(yè)研究表明,82%的開源軟件組件因存在漏洞、安全問題、代碼質(zhì)量或可維護性問題而存在“固有風險”。該報告還顯示,雖然企業(yè)中超過70%的軟件是開源的,但這些組件往往沒有得到追蹤、維護、更新或清點,從而在軟件供應鏈中留下了嚴重的漏洞,讓威脅行為者有可乘之機。這些數(shù)據(jù)凸顯出當下已成為軟件創(chuàng)新與安全相融合的“節(jié)骨眼”。

在當今軟件驅(qū)動的世界里,“唯快不破”的口號推動著軟件開發(fā),對軟件開發(fā)和部署的速度提出更高的要求。開發(fā)人員要兼顧業(yè)務需求,而安全團隊則要增加保護層,但這些措施可能會延長時間。盡管“偷工減料”的做法很具誘惑性,但IDC的智慧還是占了上風:“今天安全不意味著明天一定安全”。IDC指出,在部署之后進行二進制漏洞修復,可能會花費數(shù)百萬美元。更明智的做法是在部署軟件之前,評估并解決安全問題,避免在高風險運行時造成影響。在創(chuàng)新無止境的時代,安全不是一種選擇,而是成敗的決定性因素。

開發(fā)人員的關鍵考量因素

軟件開發(fā)過程錯綜復雜,為加速開發(fā)和部署安全軟件,關鍵在于開發(fā)人員、運營團隊和安全團隊之間的協(xié)作。

開發(fā)人員需要考慮三大關鍵領域:

·為攔截抵御新出現(xiàn)的安全威脅,當務之急是對依賴的事項加強管理并定期更新。

·進行徹底的二進制審查,保障第三方組件的真實性和完整性,從而降低潛在風險。

·實施持續(xù)監(jiān)測和自動漏洞掃描,確保主動識別并修復安全漏洞。通過遵守這些關鍵注意事項,開發(fā)人員就能提高軟件的可靠性和彈性,增強用戶信心,保護整個數(shù)字生態(tài)系統(tǒng)。

將安全工具無縫集成到開發(fā)工作流中,能夠帶來變革性優(yōu)勢。通過采用整合平臺,無需管理眾多不同的工具,能夠簡化運營,提高效率并推動協(xié)作。這種方法不僅能加快解決問題的速度,還能通過最大限度地減少漏洞來加強安全性。面對不斷變化的威脅,整合平臺的方式具有戰(zhàn)略上的必要性,賦能公司應對挑戰(zhàn),同時增強自身整體安全態(tài)勢。

確保軟件供應鏈的安全:強化,強化,再強化

當開發(fā)人員穿行于開源軟件的動態(tài)環(huán)境中時,有一條基本原則至關重要——安全必須滲透到軟件供應鏈的方方面面。在軟件開發(fā)生命周期的各個環(huán)節(jié)落實安全措施,就好比加固數(shù)字堡壘的城墻,防止入侵和漏洞。為實現(xiàn)更安全的未來,關鍵就在于擁有能夠從一開始就掃描并阻止開源軟件組件滲入軟件供應鏈的強大工具。開發(fā)人員有責任在自身項目中優(yōu)先考慮安全問題。他們利用所掌握的各種安全工具,就能創(chuàng)建一個創(chuàng)新與安全和諧共存的彈性生態(tài)系統(tǒng)。實現(xiàn)安全的開源代碼不僅是一種責任,也證明了堅定的承諾——建立以協(xié)作、創(chuàng)新和安全為基礎的數(shù)字環(huán)境。

###

關于JFrog

JFrog Ltd.(納斯達克股票代碼:FROG)的使命是創(chuàng)造一個從開發(fā)人員到設備之間暢通無阻的軟件交付世界。秉承“流式軟件”的理念,JFrog軟件供應鏈平臺是統(tǒng)一的記錄系統(tǒng),幫助企業(yè)快速安全地構(gòu)建、管理和分發(fā)軟件,確保軟件可用、可追溯和防篡改。集成的安全功能還有助于發(fā)現(xiàn)和抵御威脅和漏洞并加以補救。JFrog的混合、通用、多云平臺可以作為跨多個主流云服務提供商的自托管和SaaS服務。全球數(shù)百萬用戶和7000多名客戶,包括大多數(shù)財富100強企業(yè),依靠JFrog解決方案安全地開展數(shù)字化轉(zhuǎn)型。一用便知!如欲了解更多信息,請訪問jfrogchina.com或者關注我們的微信官方賬號:JFrog捷蛙。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )