網(wǎng)站開發(fā)過程中開源革命正在進(jìn)行中。越來越多的企業(yè)加入開源潮流，開發(fā)內(nèi)部和面向客戶的應(yīng)用程序。免費提供源代碼，肆無忌憚的靈活性，大幅減少應(yīng)用程序開發(fā)時間，恢復(fù)能力以及其他一些優(yōu)勢促使此舉。但是，有很大的優(yōu)勢也會帶來很大的風(fēng)險。

開源的本質(zhì)使企業(yè)應(yīng)用程序開發(fā)團(tuán)隊幾乎無法控制其代碼的來源和性質(zhì)。開源代碼可能帶有漏洞的可能性很高，黑客可以利用這些漏洞。

那么企業(yè)如何應(yīng)對黑客威脅并確保他們?nèi)阅軓拈_源中獲益呢？

非常小心下載

通過Internet可以免費獲得數(shù)十種不同的開源庫，工具，框架和代碼片段，企業(yè)選擇的變體很可能存在漏洞。即使是非常受歡迎的Ruby on Rails Web應(yīng)用程序框架，以及用于快速更新的非常廣泛的用戶社區(qū)，也遭受了多個安全漏洞，使200,000多個站點面臨可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行的攻擊風(fēng)險。

僅選擇由已建立的聯(lián)盟維護(hù)的開源庫版本，專門用于增強和維護(hù)軟件的原因。這樣的財團(tuán)將在代碼中占有一席之地。他們幾乎肯定會得到慷慨贊助商的資助，使他們能夠在發(fā)現(xiàn)漏洞時發(fā)布快速補丁更新。

對于企業(yè)而言，他們需要一個明確的開源使用政策，載有：

----可信網(wǎng)站的白名單，可從中下載源庫。最可靠的選擇是開源倡議推薦的網(wǎng)站。

----安全性做和不做的列表，以防止系統(tǒng)管理員和其他用戶從可疑來源下載虛假的開源軟件。有一個記錄完備的安全策略，明確指導(dǎo)安裝和維護(hù)開源。

建立一個系統(tǒng)

商業(yè)閉源套件是通過結(jié)構(gòu)化和正式的程序開發(fā)的，例如進(jìn)行需求分析，定義驗收標(biāo)準(zhǔn)，評估產(chǎn)品，將產(chǎn)品與競爭選項進(jìn)行比較，測試功能和安全功能等。開源代碼可能不一定經(jīng)過這種嚴(yán)格的評估或驗證。沒有捷徑可供應(yīng)用開發(fā)團(tuán)隊在瘋狂中建立一種方法。

制定流程以確保充分控制，并及時更新所有第三方代碼。

分析環(huán)境以識別可能的威脅。例如，使用流行的開源庫可以讓攻擊者更容易識別漏洞并發(fā)動攻擊。然而，有時，最大的威脅甚至可能不是外部的，而是惡意內(nèi)部人士。了解系統(tǒng)受到攻擊的各種方式，并相應(yīng)地保護(hù)數(shù)據(jù)。建立一個由系統(tǒng)，網(wǎng)絡(luò)和安全管理員組成的專門團(tuán)隊來實施策略，并根據(jù)業(yè)務(wù)環(huán)境的變化不時審查策略。

應(yīng)用安全工具

政策和保障措施只能在一定程度上得到保障，并需要通過有效的安全工具予以加強。

許多開源項目不會發(fā)布補丁，而只是發(fā)布一個修復(fù)問題的新版本。

以下是一些值得考慮的工具：

源代碼掃描程序（如FlawFinder和RATS（安全粗略審計工具））可識別源代碼中的潛在安全問題。這些源代碼掃描程序進(jìn)行模式匹配，以突出顯示具有潛在漏洞的代碼區(qū)域，并帶來安全風(fēng)險，如緩沖區(qū)溢出，競爭條件，shell元字符危險和差的隨機數(shù)獲取。

諸如SARA（安全審計研究助理）和Nessus等漏洞掃描程序會掃描網(wǎng)絡(luò)中的漏洞。

采用深度防御策略或分層方法來保護(hù)網(wǎng)絡(luò)，在各個層面（從應(yīng)用程序到網(wǎng)絡(luò)）部署最有效的安全工具。

安全漏洞的風(fēng)險很高。破壞性訴訟和客戶信心的削弱可以使企業(yè)自身陷入困境。采用開源的最有效和無風(fēng)險的方法是與像我們這樣經(jīng)驗豐富的合作伙伴合作。有了我們，您不僅可以利用我們豐富的經(jīng)驗，不僅可以使用最相關(guān)的開源工具開發(fā)尖端解決方案，還可以采取最有效的措施來確保一流的安全性。更多的網(wǎng)站開源信息，您可以聯(lián)系北京網(wǎng)站建設(shè)公司提供專業(yè)性的服務(wù)。