網(wǎng)站開發(fā)過程中開源革命正在進(jìn)行中。越來越多的企業(yè)加入開源潮流，開發(fā)內(nèi)部和面向客戶的應(yīng)用程序。免費(fèi)提供源代碼，肆無忌憚的靈活性，大幅減少應(yīng)用程序開發(fā)時(shí)間，恢復(fù)能力以及其他一些優(yōu)勢(shì)促使此舉。但是，有很大的優(yōu)勢(shì)也會(huì)帶來很大的風(fēng)險(xiǎn)。

開源的本質(zhì)使企業(yè)應(yīng)用程序開發(fā)團(tuán)隊(duì)幾乎無法控制其代碼的來源和性質(zhì)。開源代碼可能帶有漏洞的可能性很高，黑客可以利用這些漏洞。

那么企業(yè)如何應(yīng)對(duì)黑客威脅并確保他們?nèi)阅軓拈_源中獲益呢？

非常小心下載

通過Internet可以免費(fèi)獲得數(shù)十種不同的開源庫，工具，框架和代碼片段，企業(yè)選擇的變體很可能存在漏洞。即使是非常受歡迎的Ruby on Rails Web應(yīng)用程序框架，以及用于快速更新的非常廣泛的用戶社區(qū)，也遭受了多個(gè)安全漏洞，使200,000多個(gè)站點(diǎn)面臨可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行的攻擊風(fēng)險(xiǎn)。

僅選擇由已建立的聯(lián)盟維護(hù)的開源庫版本，專門用于增強(qiáng)和維護(hù)軟件的原因。這樣的財(cái)團(tuán)將在代碼中占有一席之地。他們幾乎肯定會(huì)得到慷慨贊助商的資助，使他們能夠在發(fā)現(xiàn)漏洞時(shí)發(fā)布快速補(bǔ)丁更新。

對(duì)于企業(yè)而言，他們需要一個(gè)明確的開源使用政策，載有：

----可信網(wǎng)站的白名單，可從中下載源庫。最可靠的選擇是開源倡議推薦的網(wǎng)站。

----安全性做和不做的列表，以防止系統(tǒng)管理員和其他用戶從可疑來源下載虛假的開源軟件。有一個(gè)記錄完備的安全策略，明確指導(dǎo)安裝和維護(hù)開源。

建立一個(gè)系統(tǒng)

商業(yè)閉源套件是通過結(jié)構(gòu)化和正式的程序開發(fā)的，例如進(jìn)行需求分析，定義驗(yàn)收標(biāo)準(zhǔn)，評(píng)估產(chǎn)品，將產(chǎn)品與競(jìng)爭(zhēng)選項(xiàng)進(jìn)行比較，測(cè)試功能和安全功能等。開源代碼可能不一定經(jīng)過這種嚴(yán)格的評(píng)估或驗(yàn)證。沒有捷徑可供應(yīng)用開發(fā)團(tuán)隊(duì)在瘋狂中建立一種方法。

制定流程以確保充分控制，并及時(shí)更新所有第三方代碼。

分析環(huán)境以識(shí)別可能的威脅。例如，使用流行的開源庫可以讓攻擊者更容易識(shí)別漏洞并發(fā)動(dòng)攻擊。然而，有時(shí)，最大的威脅甚至可能不是外部的，而是惡意內(nèi)部人士。了解系統(tǒng)受到攻擊的各種方式，并相應(yīng)地保護(hù)數(shù)據(jù)。建立一個(gè)由系統(tǒng)，網(wǎng)絡(luò)和安全管理員組成的專門團(tuán)隊(duì)來實(shí)施策略，并根據(jù)業(yè)務(wù)環(huán)境的變化不時(shí)審查策略。

應(yīng)用安全工具

政策和保障措施只能在一定程度上得到保障，并需要通過有效的安全工具予以加強(qiáng)。

許多開源項(xiàng)目不會(huì)發(fā)布補(bǔ)丁，而只是發(fā)布一個(gè)修復(fù)問題的新版本。

以下是一些值得考慮的工具：

源代碼掃描程序（如FlawFinder和RATS（安全粗略審計(jì)工具））可識(shí)別源代碼中的潛在安全問題。這些源代碼掃描程序進(jìn)行模式匹配，以突出顯示具有潛在漏洞的代碼區(qū)域，并帶來安全風(fēng)險(xiǎn)，如緩沖區(qū)溢出，競(jìng)爭(zhēng)條件，shell元字符危險(xiǎn)和差的隨機(jī)數(shù)獲取。

諸如SARA（安全審計(jì)研究助理）和Nessus等漏洞掃描程序會(huì)掃描網(wǎng)絡(luò)中的漏洞。

采用深度防御策略或分層方法來保護(hù)網(wǎng)絡(luò)，在各個(gè)層面（從應(yīng)用程序到網(wǎng)絡(luò)）部署最有效的安全工具。

安全漏洞的風(fēng)險(xiǎn)很高。破壞性訴訟和客戶信心的削弱可以使企業(yè)自身陷入困境。采用開源的最有效和無風(fēng)險(xiǎn)的方法是與像我們這樣經(jīng)驗(yàn)豐富的合作伙伴合作。有了我們，您不僅可以利用我們豐富的經(jīng)驗(yàn)，不僅可以使用最相關(guān)的開源工具開發(fā)尖端解決方案，還可以采取最有效的措施來確保一流的安全性。更多的網(wǎng)站開源信息，您可以聯(lián)系北京網(wǎng)站建設(shè)公司提供專業(yè)性的服務(wù)。