51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1853|回复: 0
打印 上一主题 下一主题

开源安全问题

[复制链接]
  • TA的每日心情
    擦汗
    2017-9-30 14:48
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    跳转到指定楼层
    1#
    发表于 2017-8-25 12:24:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    随着开源社区的蓬勃发展,现在很难找到一款完全不包含任何开源组件的程序。而开源组件的安全性问题却没有得到足够重视,甚至有人认为开源软件都是安全的,其实不然。

    开源安全的特点:
    1.        由于源代码公开,所有发现的漏洞都会被第一时间公布,因此也容易被攻击者利用
    2.        开源组件的作者通常都会在发现问题后立刻修复并发布新版本,而软件的最终用户往往得不到最及时的更新。
    3.        在软件开发和验收过程中,人们往往无法准确判断软件里包含哪些开源组件,是否存在严重安全隐患。

    中国开源安全联盟部分的解决了这些开源漏洞的定位问题。 联盟在其官网上提供免费二进制可执行文件扫描服务。可以对exe, jar, apk, ipk, iso, bin, dll, dmg, pkg等多种二进制文件进行扫描,不仅能定位开源漏洞并提供CVE编号和修补方案,还能分析出所使用的开源组件清单,据说使用的是国际上律师事务所和知识产权海关同样的分析技术。

    在2006年的LinuxWorld大会上,Linux内核维护人考克斯强调,有相当数量的资金被用来攻击开放源代码系统。他警告说,许多开放源代码项目远谈不上安全,许多资金都被用来破坏开放源代码系统的安全。媒体上经常有这样的字眼:开放源代码软件更安全、更可靠,缺陷也更少。这是一种危险的观点。

    CVE 是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。在风险评估中最重要也是最困难的两个环节就是风险的量化,以及找到风险项后如何寻找控制措施。CVE给了我们非常好的指导去进行风险评估中的技术评估。用户完全可以参考CVE字典和相应的数据库建立自己企业的风险评估指标体系,而且所有的这些风险项都可以通过CVE索引迅速地找到相应的修补控制措施。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-15 15:35 , Processed in 0.063538 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表