完善开源软件供应链安全性和弹性的商业案例
发布时间:2023-05-30 10:50:23 所属栏目:安全 来源:
导读:现今网络攻击越来越多,那么,公司该如何提高其开源供应链的安全性?
开源是一种了不起的资源,它不仅能促进社区发展,还能推动创新,是构建现代应用程序的必要条件。然而,开源软件也有其自身的安全威胁和挑战。Ti
开源是一种了不起的资源,它不仅能促进社区发展,还能推动创新,是构建现代应用程序的必要条件。然而,开源软件也有其自身的安全威胁和挑战。Ti
|
现今网络攻击越来越多,那么,公司该如何提高其开源供应链的安全性? 开源是一种了不起的资源,它不仅能促进社区发展,还能推动创新,是构建现代应用程序的必要条件。然而,开源软件也有其自身的安全威胁和挑战。Tidelift公司首席执行官Donald Fischer对为什么以及如何加强开源供应链的安全性和弹性进行了阐述和分析。 如今,根据调研机构Forrester公司发布的数据,50%以上的财富500强公司在他们的开发项目中使用开源软件。到目前为止,开源的价值在大多数企业中都得到了很好的理解:它加快了应用程序的开发,允许企业在免费代码的基础上更快地创建和改进应用程序。 然而,开源是免费的,最初的获取成本为零,但随着时间的推移,保持其安全性和良好维护的成本通常是巨大的。更重要的是,不能有效管理开源供应链的影响可能是严重的。 例如,美国政府的一个部门机构最近报告说,它投入了33,000小时来修复最近的Log4Shell漏洞,仅该机构的工程时间就至少为400万美元。 在Equifax公司未能更新易受攻击的ApacheStruts软件包版本,导致数百万消费者数据记录暴露后,他们为此赔偿了7亿美元,以解决美国联邦贸易委员会、消费者金融保护局和所有50个州的诉讼。 难怪当今天的商业领袖看到这样的例子时,拥有一个健全的开源供应链管理战略的重要性变得清晰起来。 IDC公司的DevOps和DevSecOps解决方案副总裁JimMercer建议企业积极地建立一个管理开源的计划,这样他们就可以保持安全,同时最大限度地利用开源的好处: 他说,“由于不断变化的威胁环境,企业需要一个计划来管理他们OSS供应链的健康和安全。战略必须在技术和业务利益相关者之间社会化,以获得支持,并且应该包括OSS消费者的企业指南,OSS社区的参与,以及安全尽职调查的标准。” 一个有效的开源软件供应链管理自主研发计划必须解决内部安全和维护可预测性挑战以及外部开源软件的*软件供应链弹性挑战。 解决内部开源安全和维护挑战 许多企业已经认识到保持他们使用的开源组件的安全和更新所面临的挑战。为了解决这些问题,企业应该有一个适当的计划来全面回答下面这些问题,然后在整个企业中广泛地社会化答案。其中许多问题对于单个开发人员来说是极其难以自己回答的。 企业如何决定谁负责确保开源组件的安全和最新,谁负责修复? 企业是否有适当的系统来确定哪些组件被批准使用,开发人员如何找到这些答案? 如果开发人员想引入一个尚未批准使用的组件,他们该如何做,谁需要参与? 谁来评估被引入组件的安全和维护实践,以确保它们符合企业自己的标准?企业中谁制定和维护这些标准? 值得庆幸的是,现在已经出现了解决这类问题的行业最佳实践。企业创建一个经过审查和批准的组件目录,供整个企业的开发人员使用并集中管理。随着时间的推移,随着越来越多的组件被批准,这个目录的大小可以继续增加,使开发人员可以访问越来越多的组件,而不必自己去研究。这使得开发人员的工作效率更高,并降低了企业风险。 应对供应链弹性挑战 虽然管理开放源码的内部安全和维护挑战已经有了很好的记录,但开放源码的一个不太引人注意但更有害的问题是对上游开放源码组件本身的健康和安全的威胁越来越大。 Log4Shell就是一个很好的例子,美国政府网络安全审查委员会(CSRB)在一份报告中强调了这一点,该委员会指出,开源社区目前还不够强大,无法确保代码符合企业标准和政府指南。 但实际上,当志愿者维护大多数开源组件时,企业应该问一个关键问题:谁来承担验证开源包是否符合这些标准的工作? 显而易见的答案是,维护者将是做这项工作的人,但是期望他们“出于善意”承担额外的责任,并且没有过程和工具支持,这是不应该被假定的,并且对任何企业都是危险的。我们需要一个更好的方法来解决这个问题,而不是仅仅通过简单的法律手段来解决。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
