В сегодняшней быстро развивающейся и конкурентной среде разработки мы все чаще используем компоненты с открытым исходным кодом, чтобы избежать постоянного перекодирования стандартных функций. Это вызывает проблемы с безопасностью, и здесь мы рассмотрим некоторые полезные ресурсы, чтобы понять потенциальные проблемы и их решения.
Современные предприятия, разрабатывающие программное обеспечение, представляют собой динамично развивающуюся среду, в которой группы разработчиков все чаще следуют принципам гибкой разработки, изложенным в манифесте Agile. Цель совместной и итеративной природы Agile-разработки — быстро и часто выпускать высококачественное программное обеспечение в условиях конкурентной среды.
Вместо того, чтобы каждый раз создавать приложения с нуля, группы разработчиков все больше используют компоненты с открытым исходным кодом, которые могут ускорить время разработки и позволяют разработчикам программного обеспечения сосредоточиться на проприетарных функциях, которые дают организациям конкурентное преимущество. Многие библиотеки и фреймворки с открытым исходным кодом могут оказаться полезными при создании приложений, и разработчикам имеет смысл использовать эти компоненты, а не заново изобретать колесо для целых приложений.
Однако при использовании этих компонентов крайне важно не пренебрегать безопасностью открытого исходного кода. Важность безопасности с открытым исходным кодом подчеркивается, если учесть статистику, согласно которой 29,8% веб-приложений с открытым исходным кодом, просканированных в ходе недавнего исследования, содержали уязвимости. Чтобы добиться максимальной безопасности с открытым исходным кодом, организации и группы разработчиков должны проявлять инициативу. Имея это в виду, взгляните на эти пять важных ресурсов безопасности с открытым исходным кодом, чтобы расширить свои знания о безопасности с открытым исходным кодом.
Институт SANS: Проблемы безопасности при использовании программного обеспечения с открытым исходным кодом для корпоративных требований
Этот полезный технический документ по безопасности с открытым исходным кодом был написан Институтом SANS, который является специализированной учебной компанией по информационной безопасности и кибербезопасности. Документ начинается с важного введения в безопасность программного обеспечения с открытым исходным кодом перед обзором некоторых рекомендаций по развертыванию программного обеспечения с открытым исходным кодом в корпоративной среде, таких как составление хорошо документированной политики безопасности и загрузка компонентов с открытым исходным кодом только с надежных сайтов. путем ответа на вопрос о том, действительно ли программное обеспечение и компоненты с открытым исходным кодом готовы к корпоративному использованию, что подчеркивает важность тщательной оценки любых компонентов с открытым исходным кодом, прежде чем они будут приняты в проекты разработки проприетарного программного обеспечения.
WhiteSource: Безопасность с открытым исходным кодом
WhiteSource — это платформа с открытым исходным кодом для управления безопасностью и соблюдением лицензионных требований, и на своем веб-сайте у компании есть полезная страница, посвященная безопасности с открытым исходным кодом. Этот ресурс начинается с подчеркивания важности безопасности с открытым исходным кодом с напоминанием о взломе Equifax 2017 года, когда были скомпрометированы личные данные более 145 миллионов человек. Инцидент с Equifax произошел из-за того, что компания пренебрегла обновлением своей версии Apache Struts, популярного фреймворка веб-приложений, содержащего уязвимость.
Затем на странице WhiteSource кратко обсуждаются проблемы безопасности с открытым исходным кодом, а затем выделяются важные шаги по смягчению проблем безопасности, такие как сканирование компонентов с открытым исходным кодом на наличие уязвимостей и устранение этих уязвимостей. В заключение этого ресурса рассказывается о важности автоматизации с точки зрения любого решения безопасности с открытым исходным кодом. Без автоматизации очень сложно управлять безопасностью с открытым исходным кодом в больших масштабах.
CSO: Проблемы безопасности программного обеспечения с открытым исходным кодом сохраняются
Эта избранная статья CSO, поставщика информации о безопасности, является отличным ресурсом для лиц, принимающих решения в области ИТ. Статья начинается с признания того, почему компоненты с открытым исходным кодом так полезны при переходе предприятий к гибким методологиям. Есть также полезный раздел, в котором признаются некоторые преимущества безопасности компонентов с открытым исходным кодом, включая возможность быстрого устранения проблем и тот факт, что многие проекты с открытым исходным кодом имеют большие группы участников, поддерживающих эти проекты.
Раздел о том, почему безопасность с открытым исходным кодом представляет собой угрозу, особенно хорош, потому что он освещает некоторые поразительные статистические данные о программном обеспечении с открытым исходным кодом из нескольких отчетов, такие как тот факт, что компоненты с открытым исходным кодом теперь присутствуют в 96 процентах коммерческих приложений и 67 процентов приложений используют компоненты с известными уязвимостями. В статье предлагается усиленная комплексная проверка и лучшее обнаружение уязвимостей в качестве ключевых стратегий для предприятий, использующих программные компоненты с открытым исходным кодом.
ZDNet: шесть мифов о безопасности с открытым исходным кодом развенчаны
В интересной статье, написанной старшим репортером TechRepublic Ником Хитом, говорится о нескольких мифах, которые часто пронизывают любое обсуждение программного обеспечения с открытым исходным кодом. Среди наиболее актуальных из этих мифов — тот факт, что программное обеспечение с открытым исходным кодом не более или менее безопасно, чем проприетарное программное обеспечение. Ник также упоминает некоторые из основных проблем безопасности с открытым исходным кодом, такие как своевременное применение исправлений и важность аудита цепочки поставок кода. Улучшенное управление цепочкой поставок жизненно важно в любой среде разработки, в которой используются проекты с открытым исходным кодом для интеграции с проприетарными приложениями.
Особый административный район Гонконг: безопасность с открытым исходным кодом
Правительство Специального административного района Гонконг выпустило 12-страничный документ по безопасности с открытым исходным кодом. В этом ресурсе вы найдете авторитетное обсуждение безопасности с открытым исходным кодом и некоторые передовые методы эффективного управления использованием программного обеспечения с открытым исходным кодом. Документ завершается восьмиступенчатым руководством по безопасному использованию продуктов с открытым исходным кодом в организации.
Заключение
Проекты с открытым исходным кодом чрезвычайно полезны для команд разработчиков, помогая им идти в ногу с быстрыми темпами разработки современного программного обеспечения. Организации обязаны гарантировать, что их группы разработки программного обеспечения ответственно используют компоненты с открытым исходным кодом и минимизируют риски серьезных уязвимостей в коммерческих приложениях в результате использования программного обеспечения с открытым исходным кодом.
Эти пять ресурсов предоставляют разработчикам и лицам, принимающим решения, достаточно информации для улучшения безопасности с открытым исходным кодом.