采用开源Web应用:先破除“盲目”和“偏见”

日期:2016-5-17作者:Kevin Beaver

【TechTarget中国原创】

就在不久前,开源Web软件还只是企业的优势领域;而现在,几乎所有网络领域都有大量基于开源的Web系统在运行。从网络基础设施设备到存储系统再到云端企业应用,可以说,开源Web应用的足迹遍布所有企业。

尽管开源Web应用在企业的普及率非常广,但令人惊讶的是,并没有多少人在寻找漏洞以及保持开源系统的更新。对于开源人们带有偏见的成分,并不像对某些操作系统的支持,例如Novell NetWare和Mac OS X。开源宣言是:开源就是开源,因此,它很“安全”。这里的设定是,鉴于开源代码广泛可用,意味着每个人都已经严格地审核它,并已解决其漏洞,让其免受攻击。也就是说,大家都在假设别人正在处理漏洞问题。

显然,假定别人在处理漏洞问题并不是很好的可长期实行的信息风险管理战略。围绕SSL的安全问题就是很好的例子,这说明开源也不是没有安全方面的挑战。而且,根据Web应用安全漏洞扫描仪供应商Netsparker的最新研究发现,很多企业信任且依赖的开源Web应用包含很多安全漏洞。2011年以来,该公司已经扫描396个开源Web应用,共发现269个漏洞,包括跨站脚本(180)、文件包含(16)以及SQL注入(55)。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
谢 学兵 发表于:2016-05-26 16:06 回复
开源软件在使用后,不都会进行调整和修改?? 
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

开源安全工具>更多

相关推荐

  • 如何确定应用程序的攻击面?

    应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是,在健全的风险管理发生之前,企业能够确认攻击面……

  • 隐私vs.安全:该如何平衡?

    中国的《网络安全法》已于今年6月1日正式开始实行,这给现代企业在维护信息隐私和安全性方面带来更多的挑战,也将对如何平衡隐私和安全性的探讨推上风口浪尖。

  • 被忽视的Web安全漏洞:如何识别和解决?

    在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。

  • 抵御WannaCry等攻击?这里有一波资源来袭……

    连续几天勒索蠕虫WannaCry都作为霸屏一般的存在,且该勒索病毒源头软件背后的黑客黑客组织放话还要在6月持续放大招,不免令人担心。那么为了应对潜在的恶意攻击,企业该怎么做呢?

技术手册>更多

  • 走进单点登录

    SSO,也就是单点登录(single sign-on),它是是一种认证方法,要求用户只登录一次,使用一个用户ID和密码,登录多个应用、系统或Web网站。企业的单点登录(SSO)为终端用户提供了改善用户经验,帮助IT员工减少管理大量应用上的密码的成本。在本技术专题指南中,将主要通过专家回答用户问题的方式,解密单点登录,带领大家走进单点登录。

  • 企业安全日志管理指南

    安全规范(Regulations)通常要求对日志数据进行收集、存储,而且还要求对这样大规模的数据进行审核、并作相应处理。过去,你的系统管理员可能经常通过分析日志文件来追踪一些设备上出现的问题,好让应急响应团队能及时发现可疑破坏或严重事故的关键所在。但是PCI、HIPPA、GLBA、SOX以及其它一些规范戏剧性地改变了这一惯例。现在,不管是财富500强企业,还是小型零售连锁店,还是当地的小医院,日志管理都已经变成一了项巨大的挑战。

  • 虚拟化安全综述

    虚拟化是数据中心的流行技术,它起源于20世纪60年代。它是把昂贵的计算机资源的利用最大化的方式。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。虚拟化的最大优势是,它允许管理员从中央区域为个人电脑和客户设备提供软件。虚拟化不需要管理员对一般任务进行分别考虑。服务器的关机可以带动多用户的关机。

  • 企业风险安全管理

    企业风险安全管理的需求正在推动身份识别管理和内容监视等技术的发展。但是,有太多的企业正在依靠技术而不是政策来处理风险管理问题。风险管理是种关键推动因素,你需要搞清楚需要做什么,而且应该把钱花在什么地方……</P

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

就在不久前,开源Web软件还只是企业的优势领域;而现在,几乎所有网络领域都有大量基于开源的Web系统在运行。从网络基础设施设备到存储系统再到云端企业应用,可以说,开源Web应用的足迹遍布所有企业。

尽管开源Web应用在企业的普及率非常广,但令人惊讶的是,并没有多少人在寻找漏洞以及保持开源系统的更新。对于开源人们带有偏见的成分,并不像对某些操作系统的支持,例如Novell NetWare和Mac OS X。开源宣言是:开源就是开源,因此,它很“安全”。这里的设定是,鉴于开源代码广泛可用,意味着每个人都已经严格地审核它,并已解决其漏洞,让其免受攻击。也就是说,大家都在假设别人正在处理漏洞问题。

显然,假定别人在处理漏洞问题并不是很好的可长期实行的信息风险管理战略。围绕SSL的安全问题就是很好的例子,这说明开源也不是没有安全方面的挑战。而且,根据Web应用安全漏洞扫描仪供应商Netsparker的最新研究发现,很多企业信任且依赖的开源Web应用包含很多安全漏洞。2011年以来,该公司已经扫描396个开源Web应用,共发现269个漏洞,包括跨站脚本(180)、文件包含(16)以及SQL注入(55)。

笔者常常很怀疑这种基于供应商的研究数据,但笔者在自己执行Web应用漏洞和渗透测试后也发现相同的结论。事实上,大多数漏洞(特别是关键漏洞)出现在开源平台中,而且,还远不止这些。笔者发现扫描仪只发现了一半的Web漏洞,另一半隐藏在老式的Web浏览器中。这就不只是传统Web安全问题了,还可能影响所有应用。

不要盲目相信开源Web应用可以免受攻击,就算它们是“免费”的或在非关键系统中运行。企业不仅要在其持续的安全测试中涵盖这些系统,还需要考虑通过商业工具或开源工具来执行静态源代码分析。企业还应该确保定期补丁管理程序中开源软件部分的执行。企业应该将其开源应用整合到其系统监控和警报、以及整体事件响应程序中。最重要的是让开源系统处于检查范围中,决不能让它们“离开视线”。