从工具到实践:如何在GitHub上保障开源项目安全?
发布时间:2023-02-22 15:15:57 所属栏目:安全 来源:
导读:在1998年, Christine Peterson开创了一个词,叫做“开源软件”。。她解释道:“这是刻意为之,为了让其他人更容易理解这个领域”。同年,O’Reilly组织了首届“开源峰会”。
开
开
|
在1998年, Christine Peterson开创了一个词,叫做“开源软件”。。她解释道:“这是刻意为之,为了让其他人更容易理解这个领域”。同年,O’Reilly组织了首届“开源峰会”。 开源软件受到更多人青睐原因在于,用户对软件拥有更多的控制权,因为他们可以检查代码。对于长期项目来说,开源软件被认为是稳定的,因为这些项目遵循开放的标准,即便维护者停止工作,也不会凭空消失。一个活跃的开发者社区无疑是十分重要。 比起闭源软件,开源需要更多地考虑安全问题,因为任何人都可以查看并修改代码。贡献者可以发现错误并提交一个PR对代码进行变更。与此同时,也伴随着一系列的安全问题。 什么是软件供应链攻击? 当有人利用外部供应商或能够访问你的企业的数据和系统的第三方组件来渗透你的数字基础设施时,就会发生软件供应链攻击。供应链攻击的类型多种多样,本文将聚焦于开源供应链。 任何人都可以通过开源举措为项目的开发作出贡献。利用这个切入点,黑客可以将漏洞编入开源项目中,当企业将该项目引入其软件中时也引入了新的威胁,而且往往是在不知情的情况下,通过遍历依赖或间接依赖引入。例如,如果一个漏洞可以被利用来访问用户的数据,那么攻击者就可以利用这个漏洞进行恶意操作。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐