减少使用开放源码软件的安全风险
这个标题听起来像是一个棘手的问题,但事实并非如此(我是开放源码软件的超级粉丝)。
我有一家小公司,它有一个网络应用程序,正在与“财富”100强公司进行信息交流审查。向我提出的问题包括:
- 如何跟踪和监视开放源码软件中的漏洞?
- 您采取了哪些步骤来确保开源软件是无风险的?(这似乎是一个措辞很差的问题)
我目前的回答是,除了使用已经建立的和有信誉的开放源码软件之外,我什么也不做,但我认为这还不够。
检查我正在使用的所有开放源码软件的代码是不可行的。什么是一个合理的过程,以满足一个信息交流小组?
要评估的OSS是所有Python (例如,水瓶、水瓶-安全性)。我使用Google/AWS提供的VM(他们对其进行更新),我向它们添加了一些额外的Python包,我主要关心的是这些额外的Python包。
(他们似乎不想让我处理底层Linux上的所有OSS,我也不想打开那些蠕虫。)
回答 2
Security用户
发布于 2019-07-04 16:04:06
如何跟踪和监视开放源码软件中的漏洞?
就像在封闭源代码软件中监视它一样。漏洞将在后续版本中报告和更新。通常,对于OSS来说,这个周期甚至更快。
您采取了哪些步骤来确保开源软件是无风险的?
使用封闭源代码软件所采取的相同步骤:审查、声誉、支持。历史证明,封闭源代码和开放源代码在统计上具有相似的风险。
公平地说,封闭资源为法律诉讼提供了一个目标,但除非你有雄厚的财力,否则就不是胜利者。
这可能对你的论点有帮助,也可能没有帮助:
18F:开放源码团队18F,一个在总务管理局内的数字服务提供团队,开发内部数字解决方案,以帮助机构满足他们所服务的人和企业的需要。这要求我们在编码方式上具有灵活性,重点是降低美国人民的成本,同时改善他们与美国政府的互动。开发新项目时,18F的默认位置是:
- 在我们的项目中使用免费和开放源码软件(FOSS),它不向用户收取修改或重新分发源代码的购买费或许可费,并为开源社区做出贡献。
- 在公开场合发展我们的工作。
- 公开发布由18F创建或修改的所有源代码,无论是由政府工作人员自行开发,还是通过由18F谈判达成的合同。
福利
- 灵活使用。
- 社区参与。
- 节省成本。
- 可重用性
Security用户
发布于 2019-07-04 14:01:07
关注第一个问题:
如何跟踪和监视开放源码软件中的漏洞?
你可以(并且应该做)的事情:
- 使用发行版存储库。主要发行版,如Debian、Ubuntu、RHEL等,都非常擅长及时修补。及时了解这些信息可以解决许多问题。
- 监控相关安全邮件列表或网站的潜在问题。有时,针对安全问题的简单工作可能会在修补程序之前发布,如果受到攻击,了解漏洞也可能减少影响。
- 为不同的攻击规定了最后期限。本地用户攻击?也许5天就够了。远程代码执行?有一天可能就足够了,但却能达到很多.
第二次
您采取了哪些步骤来确保开源软件是无风险的?
我将包括一些关于最佳实践配置,安装源代码的安全审查的一般blabla。
https://security.stackexchange.com/questions/212928
复制相似问题
腾讯云开发者
