开源软件安全治理正当时! log4j 2漏洞爆发 (开源软件安全吗?)

近年来,随着云计算、AI、IOT等技术的不断发展,IT等信息技术领域也有了新的突破,可以更好的赋能关键信息基础设施建设。然而,安全作为主旋律,一直是备受关注的焦点。一方面,传统安全防护措施的缺失,对于新型高级威胁缺少防护壁垒;另一方面,开源趋势下,事后防御的手段已不满足安全需求,“安全左移”下提出了更高的安全需求。

尤其是,近日影响力巨大的log4j 2.x的漏洞事件,引起了轩然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都为我们敲响了安全警钟。如何做好此类事件的威胁防护、开源安全的风险治理是需要大家积极探讨的新命题。

12月30日,由悬镜安全、OpenSCA联合主办的全球首款企业级OpenSCA技术开源发布会在北京举行,会议现场,针对“开源软件”、“供应链安全”等热点带来不同角度的学术探讨与实践分享,共同探讨开源产业生态下的安全新态势。

用开源的方式做开源风险治理

大会现场,悬镜安全创始人兼CEO子芽围绕“开源”、“风险治理”、“OpenSCA”等关键词分享了如何用开源的方式做开源风险治理。

log4j 2爆发,开源软件安全治理正当时! 悬镜安全创始人兼CEO子芽分享

子芽表示,应用开源是大势所趋,但是避免不了Web通用漏洞、业务逻辑漏洞、开源成分的缺陷及后门等漏洞问题,而用开源的方式做开源风险治理,可以让开源用多样性拥抱不确定性,形成开源新范式。

此次,悬镜安全对外发布OpenSCA开源技术,是为了解决看不清、摸不透、跟不上、防不住的治理难题。OpenSCA作为悬镜安全旗下商业级SCA产品源鉴OSS开源威胁管控平台的开源版本,它继承了源鉴OSS的多源SCA开源应用安全缺陷检测核心能力。悬镜把OpenSCA技术开源,对于守护中国软件供应链安全有着重要的意义。

据了解,悬镜安全数十位来自北大的科研人员、行业专家智库,历时26280个小时潜心打磨,提出了“用开源的方式做开源风险治理”,用简单的配置即可完成对开源组件所使用的成分进行检测,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,进而助力企业进行开源风险的识别及治理。

开源软件下软件供应链安全如何治理

log4j 2漏洞是近期圈内和圈外讨论热度都较高的话题,Apache Log4j是一个基于jAVA的日志记录工具,基本70%以上的企业都有使用的开源代码。log4j 2漏洞的爆发给我们带来的警示是什么?开源的软件如何保证安全?log4j 2究竟是“黑天鹅”还是“灰犀牛”?

log4j 2爆发,开源软件安全治理正当时!

基于以上问题国家信息技术安全研究中心总师组专家杨韬认为:“这是一个大事,但并不是新鲜事。对于应对漏洞,产品和服务的提供者以及网络运营者,需要在未来很长的一段时间之内做好心理准备和0day漏洞共存。”

北京赛博英杰科技有限公司创始人兼董事长表示:“企业要敢于盘家底,要排查有多少系统用了该工具,所有配置设置都要了解清楚。”

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。其中,开源软件的安全问题尤其值得关注。

东方通集团副总裁朱木林认为:“开源社区难以管理,开源代码的漏洞很多,因此要积极拥抱开源,如果厂商、监管以及国家三方合力形成一种机制,一起营运管理开源软件的安全生态。”

“log4j 2漏洞的爆发,站在战略投资的角度来说,让安全领域成为了资本所青睐的对象”,同时国家也会有更多的政策倾斜到这一领域。”百度工程效能部效率云技术总监及开源中国联席产品主席张伟军如是说。

悬镜安全CTO宁戈则认为开源的风险治理是比较严重的问题,因为开源组件的维护都是社区自发的,安全力量投入不足,另外开源社区的发展是无序进化的状态,对于安全治理也是比较难的。

“黑天鹅”一般指那些出乎意料发生的小概率风险事件;“灰犀牛”指那些经常被提示却没有得到充分重视的大概率风险事件。相对于开源软件来说,面对的“黑犀牛”的威胁是更多的,因此安全治理必须要考虑。

据不完全统计,全球97%的软件开发者和99%的企业使用开源软件,基础软件、工业软件、新兴平台软件大多基于开源,开源软件已经成为软件产业创新源泉和“标准件库”。与此同时,开源许可证的兼容性问题、开源项目的合规问题、开源安全漏洞问题和开源知识产权的侵权等问题也日趋凸显。

未来,悬镜安全将依托软件供应链安全技术,布局开源安全产业生态,以前瞻性产业视角视角构筑行业安全生产线,不断拓展人类认知实践的边界,在更大的范围帮助更多的企业实现开源风险治理,助力开源生态健康有序发展。()

原创文章,未经授权禁止转载。详情见 转载须知 。

全局中部横幅
行业网站

行业网站排名,根据网站的综合值按照不同的行业网站进行筛选排名结果,通过筛选行业网站可以看到每个行业网站里面的网站排名优质的网站是哪些

软件制作,织梦仿站,织梦二次开发

做啦前生为就做啦成立于2007年,是一家从事互联网信息服务相关的网站,经过多年的技术沉淀,做啦将竭诚为您提供软件制作、软件开发、网站制作、织梦仿站、织梦二次开发、织梦模板制作、做软件、做网站等服务,同时也分享一些互联网信息技术及织梦教程等信息,做软件做网站做模板就来做啦网。

公务员考试

【中公教育-公务员培训机构】提供2024国考、省考、事业编、教师、银行、考研、专升本等公告、时间、职位表、报名、成绩、试题、网校、笔试面试辅导及IT培训班等。

好文溜溜

好文溜溜为您提供各类作文、读后感、演讲稿、心得体会、教案、申请书等优质职场范文,每日更新,欢迎收藏本站,以备使用!

诗经译注大全网

为您提供超过10万首诗词,拥有古诗词大全,唐诗三百首,现代诗歌大全,诗词名句等栏目,是最好的诗词学习平台!

宁波新州焊接设备有限公司

宁波新州焊接设备有限公司成立于1998年,是一家专业设计、生产各种点焊机、排焊机、对焊机等成套专用电阻焊接设备的国家级高新技术企业。公司现有建筑面积16000m2,注册资金500万元,固定资产4000多万元,是国内大型生产电阻焊机的厂家之一。公司设有市级研发中心,中心内拥有一支高水平的研发和技术管理队伍,以及相应的科研测试设备和相关科技人员。研发能力和产品质量不断提高。

北京史密力维环保科技有限公司

该设备主要由糖化系统、发酵系统、过滤系统、灌装系统、CIP洗涤系统、配电及发酵恒温自控系统、制冷系统等组成。

北京完美人生科技发展有限公司

组织文化艺术交流活动;销售化工产品、婴儿用品、日用品、服装鞋帽、化妆品、珠宝首饰等。

石磨面粉加机厂家

河南粮院机械制造有限公司是专业研发生产石磨面粉机,石磨面粉机械,石磨面粉设备,石磨面粉加工设备,石磨面粉机组,石磨磨粉机的综合性企业,为各类石磨面粉生产线项目提供全套解决方案:400-966-9225

会员在线查询系统

康美查询管理系统长期专注于会员查询系统、会员管理系统、会员系统网站、会员系统软件、工会会员查询系统、会员查询登录、会员卡查询、在线会员系统、协会会员查询系统,同时为证书查询系统的开发制作、电子证书系统定制等提供解决方案,也为会员查询系统怎么做?如何购买会员管理系统?门店会员系统怎么做?网站会员注册系统哪家好?如何选择小程序会员管理系统开发公司和专业会员管理系统开发公司等问题提供参考。电话:138-6416-9891

焊锡机,自动焊锡机,自动螺丝拧紧机

全自动化设备厂家直销自动螺丝拧紧机、自动焊锡机、焊锡机等非标自动打螺丝机设备、等各种全自动焊锡机器人设备解决方案商家。咨询热线:136-1282-2594

芋道管理系统

芋道管理系统基于vue3+CompositionAPI+typescript+vite3+elementplus的后台开源免费管理系统!

全局底部横幅