免费开源软件的潜在安全危险
发布时间:2022-06-04 08:45:54 所属栏目:安全 来源:互联网
导读:Linux基金会和哈佛大学创新科学实验室的研究人员进行了广泛调查和深入研究,得出了有关企业内常用的免费开源软件(FOSS)的一些重要结论与潜在安全风险。 研究人员发现,由于缺少针对FOSS组件的标准化命名方案,企业和其他股东难以快速、准确地识别可疑或易受
|
Linux基金会和哈佛大学创新科学实验室的研究人员进行了广泛调查和深入研究,得出了有关企业内常用的免费开源软件(FOSS)的一些重要结论与潜在安全风险。 研究人员发现,由于缺少针对FOSS组件的标准化命名方案,企业和其他股东难以快速、准确地识别可疑或易受攻击的组件。 其次,他们还发现,需要更加安全地保护开发人员的账号,那些积极为某些广泛部署开源软件做贡献的人员。第三个发现是,与其他较旧的硬件或软件技术一样,开源社区中的旧版软件包日益危险。 《哈佛商学院》的合著者Frank Nagle教授说:“ FOSS组件几乎是所有其他软件的基础,无论是开放的还是专有的,但我们对软件的常用性或安全性信息知之甚少。考虑到了免费开源软件可能对经济产生的影响,但却很少人考虑到支持和维护这一核心基础架构的系统性工作。” 在确定了最重要的项目之后,研究人员着手寻找这些项目中最活跃的贡献者,并确定了其中约75%的公司从属关系。在研究过程中,研究人员发现,最常用的七个开源软件项目中的七个托管在开发人员个体账号上,其安全性比企业账号更弱。报告警告说:“个体账号的开发人员控制和更改代码非常容易实现,无需检测即可进行。” 此外,根据研究人员的说法,对开发人员个体账号的攻击正在增加,利用账号接管、后门和其他恶意代码等实现代码访问的风险越来越大。Nagle说:“如果这类个人账号的存储库支持的话,可以执行两因素身份验证。” 个人账号控制的常用FOSS的另一个风险是开发人员,他们有删除账号或删除有争议和分歧代码的决定权。Nagle指出:“更广泛和长期的解决方案是,将此类项目转移到企业账号,而不是由个人账号控制,这有助于增强项目的归责性和将来的可用性。” 研究表明, FOSS组件需要有更好的命名规则。Nagle表示,由于FOSS可以自由修改和复制,因此可以有多个版本,分支和类似名称的存储库。为了进一步确保安全,重要的是对正在使用的FOSS组件情况以及支持和维护工作有个共识。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐