首页>机器人 > 正文
开源系列 | 开源软件对网络安全的影响
来源: 出新研究 微信号 发布于:2022-12-23 22:15:25

“开源软件是过去几十年最具创新性的发展之一。


(资料图片仅供参考)

作者:Kyndall Elliott |

编译:唐诗 |

出新推出“产业洞察”栏目,聚焦各新兴技术领域,解析各行业发展最前沿的问题。本周推出开源系列,本篇盘点开源与网络安全的关系及影响。欢迎大家持续关注!

用户和安全供应商可以访问类似的资源和技术来应对恶意参与者社区。但是,团队合作是网络安全经常不足的领域。这种分散的安全环境可能会伤害客户,造成威胁参与者可以利用的安全漏洞。

根据X-Force威胁情报指数,恶意行为者的网络攻击处于历史最高水平,仅勒索软件就占攻击的23%。与此同时,运营技术基础设施攻击增加了2000%。

这种令人担忧的发展的原因之一是客户通常自主运营,而恶意行为者在协作环境中集体工作。

开源软件 (OSS) 安全性是指用于管理和确保从生产到开发的合规性的流程和工具。最好的方案是会自动探索应用中的开源依赖项,提供有价值的信息和关键版本控制,并触发警报以识别策略违规行为。

然后,它们会自动监控、警报和阻止生产中的攻击,针对任何开源组件的漏洞,以帮助快速采取行动。

不再依赖供应商或安全团队的专家和开发人员使用开源软件。相反,可以联系整个开源社区,就像其他组织或供应商一样,包括研究人员和大学,所有人都在查看相同的代码并对其进行改进。

01

开源如何帮助网络安全团队?

网络安全专家可以快速评估开源的相关风险。例如,程序员可能会在不知不觉中将有缺陷的开源代码插入到企业软件应用程序中。此操作可能会使组织、其客户和合作伙伴容易受到日益复杂的数据泄露的影响。

然而,随着 IT 攻击威胁的飙升在 Covid-19 期间给该行业带来了极大的压力,越来越多的网络安全专业人员理解开源的重要性,以及它如何成为保护客户和领先于安全审计问题的强大工具。

随着免费和开源工具和组件在企业环境中变得越来越普遍,作为安全供应商,在产品集成和威胁情报方面进行更多协作至关重要。

采用开源软件可以最大限度地降低整体开发成本,并使开发人员能够专注于更多增值工作。开源软件的另一个显着好处是成本较低。如果出现问题,您可以轻松地立即打开并修复代码,而无需等待供应商回答。

包括微软在内的IT领域的巨头已经接受了OSS网络安全,但一个重要的问题是,由于源代码是免费提供的,因此它更容易被利用。一些安全领导者认为专有软件比OSS更安全,因为它的代码是隐藏的。毕竟,即使代码中存在缺陷,恶意行为者如果看不到它们,也无法利用它们。

虽然专有软件也存在漏洞,但源代码的披露是一个重大的合规性问题。这种方法被称为“通过默默无闻获得安全性”,其中包括几个缺陷。

美国国家标准与技术研究院(NIST)明确建议依靠“通过隐蔽性实现安全性”来确保系统的安全性。系统安全不应依赖于实现保密性或其组件。

代码的透明度意味着更多的用户花时间评估漏洞解决方案。但事实并非如此。开源代码的每个组件都没有专门的用户群,甚至不能保证团队是否有足够的知识和专业知识来识别和解决所有问题。

以下是安全专业人员确保安全性的一些方法,即使使用开源代码也是如此:

使用多重身份验证和强密码

消除不再使用的软件

及时了解所有软件的安全更新

规范用户访问,确保数据安全

部署违规检测工具

根据需要加密数据

准备好响应协议,以防检测到安全漏洞

随着有关多个组织中网络安全攻击的最新报告,充分保护公司的 Web 应用程序、软件、供应链和数据免受恶意软件、勒索软件和网络钓鱼威胁至关重要。

计算技术的进步和发展使开源安全工具能够识别各个领域各行各业的网络威胁和漏洞。

02

实施开源软件有哪些风险?

在组织中部署开源软件之前,必须考虑与其部署相关的问题和风险。以下是开源软件的一些危险:

过多的访问和代码漏洞。开放获取意味着所有人都可以访问代码。因此,这为恶意行为者创造了随心所欲地操纵代码的机会。利用 OSS 可以为不良行为者提供多种途径来未经授权访问您的信息和网络。

缺乏支持。大多数OSS系统没有专门的支持团队。如果没有可靠的支持团队,可能无法获得安全补丁和更新。如果不良行为者检测到开源软件中的漏洞,他们可以利用这些系统漏洞获得对公司信息和网络的未经批准的访问权限。

缺乏验证。不能保证合格的专家在开源软件开发中执行充分的测试和质量保证,也不能保证审查代码的人员会仔细评估其安全性。缺乏确认会使您的计算机基础架构容易受到攻击

在获取和部署开源软件之前,必须彻底开展保障活动。通过这些预防措施,您可以更好地保护和最小化公司系统和网络的安全风险。

另一方面,专有软件具有内置控件,以防止使用不兼容或多个版本。开源元素通常依赖于用户来验证正确使用。

03

开源系统和封闭系统之间是否存在平衡?

在自动化和技术时代,软件在日常任务中越来越多地被利用和接受。但是,无论特定软件的用途如何,都有两种主要类型:开源和闭源。

闭源软件是保持源代码加密和安全的软件。用户不能修改、复制或删除代码段而不承担从取消保修到法律后果的后果。

另一方面,开源软件恰恰相反。它使用户能够自行修改、删除或复制代码节。此外,用户可以在他们的程序上使用功能而不会产生任何影响。

总体而言,如果想要灵活性、可扩展性和最低成本,开源软件项目是开始网络安全之旅的绝佳场所。但是,选择非常适合的需求的技术可能具有挑战性。

本文提供的信息仅用于一般指导和信息目的,本文的内容在任何情况下均不应被视为投资、业务、法律或税务建议。

本文首发于微信公众号:出新研究。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。

关键词:

猜你喜欢

  • 开源系列 | 开源软件对网络安全的影响
  • 疫情不再是“药神”,互联网医疗的未来能否找到“新解”?
  • 张世炜:走在创新的大道上
  • 美图线上下演绎「圣诞奇幻橱窗」,携众品牌开启节日奇幻大片-全球时快讯
  • 揭秘荣耀健康显示背后故事!坚持追光,铸就好科技-全球滚动
  • 索尼正在开发新版本PS5,最快明年发布?-全球速看
  • 小岛秀夫微软合作将带来“没有人经历过或见过”的游戏
  • 嵌入式冰箱:标准混乱 体验为王-全球最资讯
  • 网易数创精英汇首期开班,构建“网易生态合作圈”-天天微头条
  • 首创可呼吸新风技术,TCL新风空调小蓝翼Ⅲ再破行业技术壁垒-当前热门
  • 故事会救不了知乎-全球焦点
  • 洗衣机行业用户满意度指数连续三年提升 智能洗衣机更受用户青睐-天天速读
  • 2022年冰箱行业用户满意度保持较高水平-全球播报
  • 监测显示:我国电视行业用户满意度为83分 质量消费体验指数持续上升-天天速读
  • 雷神在北交所成功挂牌上市 成为北交所首家电竞装备品牌上市公司-观点
  • 紫米:网络上关于该品牌停止运行等相关言论均属不实消息
  • Canalys预测 2023年智能手机出货60%都具备5G功能
  • 微软回应美政府阻止收购暴雪:不会颠覆游戏行业 仍期待达成协议-当前速讯
  • App、游戏在内 腾讯一年砍掉超40个项目!马化腾内部会放狠话-速看料
  • 三度补货 销量猛增81倍 网易严选黄桃罐头为何成为疫情新爆款?