当前位置: 首页>>撸妹妹 >>报告:开源需要获得安全计划

报告:开源需要获得安全计划

添加时间:    

周三发布的开源开发者显然不坚持使用静态分析和定期安全审计等最佳实践,发现Coverity的Spotlight报告。

Coverity扫描服务免费提供给开源项目,去年帮助开发者找到并修复了大约5万个质量和安全缺陷。

这个数字可以部分归因于持续改进,这可以让用户找到以前未被发现的缺陷。另外,随着项目的成熟,开发者可以专注于找出新的缺陷。 Coverity产品高级总监Zach Samocha指出,另一个因素是Coverity服务的用户注册量是2012年的四倍。

6月Coverity将其安全顾问添加到Coverity Scan服务中,结果发现了近4,000个缺陷。安全顾问包含复杂的分析算法,可帮助开发人员查找并修复关键的Web应用程序安全问题。

在4,000个发现中,其中近2400个是高严重性缺陷,而1330个是低严重性,其余260个是中等严重性。

仅今年就有几个公开的开源漏洞,包括Heartbleed和Shellshock。

由于开源软件的广泛实施,这两个缺陷影响了大量的用户。 “Samocha在接受TechNewsWorld采访时说:”我们希望看到更多的开源项目注册[Coverity Scan]服务,并将缺陷的发现和修复纳入其标准过程中。已经有3,000多个开源项目注册了这个服务,但“还有更多”。

安全顾问可以在C#,Java,C和C ++代码中发现质量缺陷,并且可以发现Java,C和C ++中的安全缺陷。

自6月份以来,Security Advisor在37个开源项目中确定了688个OWASP Top 10问题,其中包括大数据,网络管理和博客服务器项目。

有210个不安全的直接对象引用; 139各种跨站脚本和跨站请求伪造;和135个注入代码,包括SQL注入。破坏的认证和会话管理涉及43个问题,安全配置错误10,敏感数据暴露8,缺少功能级别访问控制4。

安全顾问几年来一直以商业客户的付费方式提供。

普遍认为开源开发者在他们自己的时间编写代码作为利他行为,这就提出了他们如何找到时间和精力将安全最佳实践融入其编码的问题。

“那里有许多令人难以置信的开发者,他们在晚上和周末都会开发出很棒的东西,但是......他们中很少有人能够花费数天或者数周的时间来处理问题并修复错误。”Secure Channels的首席技术官Robert Coleridge说。 TechNewsWorld。 “我看不出在饥饿的艺术家层面上解决这个问题的方法。”

这就是为什么Heartbleed错误,这是一个相对较小的编码错误的结果,没有被发现。 OpenSSL项目的开发者是创建它的OpenSSL项目的兼职志愿者,他们都是全职日常工作,而且这个项目缺乏资金和人力来检查代码,OpenSSL基金会主席Steve Marquess以前告诉过TechNewsWorld。

然而,使用开源软件的企业应该承担责任,而不是独立的开发人员。

在今年早些时候进行的Sonatype调查中,超过370家组织报告在过去12个月中确认或怀疑存在开源违规行为。 SilverSky执行副总裁John Viega表示:“很多开源软件都是由企业资助的,而不仅仅是全球的红帽,所以人们为这些事情付出了代价。他告诉TechNewsWorld:“这确实是一个经济问题。这种额外的努力的价值是什么,特别是当最终客户没有对安全性和功能性功能进行相对高的价值时

组织应确保他们跟踪他们使用的开源组件的安全漏洞 Stealthbits Technologies首席技术官凯尔·肯尼迪(Kyle Kennedy)在产品生命周期中告诉TechNewsWorld。 “开放源代码组件(用于企业软件项目)的可见性对风险评估和法规遵从至关重要。”

理查德·阿迪卡里(Richard Adhikari)自20世纪90年代以来就撰写了关于高科技的主要行业出版物,并且想知道它们在哪里引起的。将RFID芯片植入人体是兽的印记?纳米技术能否解决我们即将到来的粮食危机?鲟鱼的法律是否仍然成立?您可以在Google+上与Richard联系。

随机推荐

网站导航 福利地图