国产欧美中文,欧美日韩国产一区,日韩在线视频一区国产

解析企業(yè)使用開源軟件的潛在風(fēng)險

原創(chuàng)|行業(yè)資訊|編輯：黃竹雯|2017-11-02 15:07:16.000|閱讀 506 次

概述：很多企業(yè)都選擇使用開源軟件（OSS）構(gòu)建更加靈活的產(chǎn)品，但其中也存在潛在的風(fēng)險，軟件供應(yīng)商和IoT制造商都有必要去了解一下隱藏在軟件供應(yīng)鏈中的風(fēng)險。

# 界面/圖表報表/文檔/IDE等千款熱門軟控件火熱銷售中 >>

很多企業(yè)都選擇使用開源軟件（OSS）構(gòu)建更加靈活的產(chǎn)品，但其中也存在潛在的風(fēng)險，軟件供應(yīng)商和IoT制造商都有必要去了解一下隱藏在軟件供應(yīng)鏈中的風(fēng)險。

已知風(fēng)險

例如，犯罪分子就完全可以利用Apache Struts CVE-2017-5638漏洞來獲取Equifax客戶的個人資料。眾所周知，Apache Struts是一種廣泛使用的開源組件 – Web服務(wù)器的框架，它可以用于接收和提供公司內(nèi)部系統(tǒng)中的商業(yè)數(shù)據(jù)。歸根到底，還是因為這個開源組件所存在的漏洞以致于使其成為網(wǎng)絡(luò)攻擊的主要目標。

主要發(fā)現(xiàn)

根據(jù)Flexera的一份最新報告顯示，在商業(yè)和IoT軟件產(chǎn)品中所發(fā)現(xiàn)的代碼有百分之五十都是與開源軟件有關(guān)的。但調(diào)查顯示只有37％的受訪者表示曾獲取并使用開源軟件。而63％的公司說，他們并沒有獲取或使用開源軟件，或者說他們根本就不知道有這種情況的存在。

并且據(jù)了解，目前基本沒有人對開源軟件的安全性負責(zé)：39％的受訪者表示，在他們公司內(nèi)部沒有人會對開源軟件的安全性負責(zé)，或者可以說他們壓根就不知道應(yīng)該是由誰來負責(zé)。

除此之外，開源軟件的貢獻者也不是遵循最佳實踐：33％的受訪者表示自己的公司曾為開源項目做出了貢獻。但是，又有63％的受訪者表示他們的公司壓根并沒有開源采購或使用政策，當(dāng)然也有43％的受訪者表示自己本身對開源項目也有做出貢獻。

不管怎樣，我們都不能忽視開源確實是一個明顯的捷徑。 Flexera產(chǎn)品管理副總裁Jeff Luszcz表示：“完全開源可獲取的代碼可以快速獲得產(chǎn)品，這對于軟件開發(fā)的快速節(jié)奏來說非常重要。” “然而，大多數(shù)軟件工程師并沒有在私下里去跟蹤開源的使用情況，而且有絕大部分的軟件高管都沒有意識到其安全/合規(guī)風(fēng)險方面存在一定差距。”

事實上，對于開源軟件使用過程中的安全合規(guī)、許可等流程可能遠比簡單的拿來用要方便的多，但這些流程毫無疑問是必不可少的。

“開源軟件的安全合規(guī)流程能夠很好的保護產(chǎn)品和品牌聲譽。但大多數(shù)軟件和IoT廠商都沒有意識到存在的問題，所以他們并沒有保護自己和戶，”Luszcz說，“對于暴露產(chǎn)品合規(guī)性和漏洞風(fēng)險的供應(yīng)商，還有那些壓根就不知道他們運行開放源代碼和其他第三方軟件的客戶，甚至可能是包含軟件漏洞的客戶，這些都是會危及到整個軟件供應(yīng)鏈。”

2017慧都十四周年狂歡搞事情！砸金蛋100%抽現(xiàn)金紅包、滿額豪送iPhone X、iPhone 8、DevExpress漢化免費送、團隊升級培訓(xùn)套包勁省10萬元......更多驚喜等您來探索！