当构建应用程序时,开发团队可以轻松利用一百个甚至更多的开源代码库,框架,工具,以及网上复制下来的代码片段。研究表明,很少有组织已经实施有关开源软件的安全策略。这种缺乏控制和维护的状态会给企业构成重大威胁。
在这段视频中,Cobweb Applications的总经理Michael Cobb讨论了使用开源软件的风险,以及IT安全部门和开发团队该如何合作起来以确保安全开发。
Cobb说:“尽管开源软件存在Heartbleed漏洞和关键代码维护问题,但是其仍旧被很多人视为提供可靠安全代码最好的办法。”
根据Cobb所说的,如果一个开源项目运行稳定、资金充足,那么代码审查结果就是首屈一指的。他还指出,Linux操作系统每小时提交7次代码更新。有180家企业每年向非盈利组织Linux Foundation提供超过五十万美元作为资金,其中包含甲骨文、IBM、惠普和三星。
Cobb提醒道:“许多对网络安全至关重要的开源项目远远没有考虑到资金和开发人员投入这个层面。”管理者应该为开源代码使用制定明确的参数,包括商业案例、技术支持交流区和文档的质量、以及证书和代码质量。
Cobb在Building Security In Maturity Model Study中提出一个发现:拥有成熟软件安全操作的企业往往有一个董事会任命的负责安全工作的高管。成立一个用来管理开发项目的软件安全组是另一个很好的实践方法。通过这种方法,软件的安全性被视为企业的一个组成部分、组织管理流程中的一个必要费用。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
Windows XP修复:这是微软的正确决定吗?
软件开发人员希望限制其软件的版本数量以减少很多其他的成本。微软也不例外,在向客户发布Windows XP补丁之前他们也仔细权衡了这些问题。
-
信息安全风险管理要素
保护信息是一个业务问题,解决方案并不只是部署技术(防火墙和防病毒网关等),然后不管不顾,并全权依赖保护。企业必须采取积极主动的方法来发现及保护其最重要的资产,包括信息、信息技术和关键业务流程……
-
抵御攻击的关键——保护API
自1960年代结构化编程出现以来,API一直是软件开发的重要因素。现在,保护API变得越来越重要……
-
代码安全:持续交付模式会是理想答案吗?
持续交付(CD)模式尽管开发周期短,但安全网关的需求仍不可少。在这种环境下,该使用何种网关或是其他安全措施?我们是否要继续采用CD模式?