![技术聚光灯>工作的未来[InfoWorld]>开发人员/虚拟代码界面覆盖](https://images.idgesg.net/images/article/2021/02/spot_future_of_work_ifw_3x2_2400x1600_herodeveloper_programmer_virtual_code_interface_by_dean_mitchell_gettyimages-100876238-large.jpg)
开源软件(OSS)不断涌入企业IT部门,从许多方面来说,对供应商和用户都是巨大的福音。对于前者,能够使用开源组件意味着摆脱大量的重复effort-rather不必设计的每一部分,说,一个物联网传感器和监控产品从零开始,供应商可以采用易于理解,支持开源库的网络堆栈,并将更多的注意力放在传感和数据分析功能上,这将使该产品有别于其竞争对手。
对于最终用户来说,其中一个主要优势是 - 至少在理论上 - 改进的安全性是开源软件的通常销售音高的一部分。这里的想法是,一个软件的开放性 - 以及任何人都可以看待它来发现和纠正安全漏洞的事实 - 意味着它通常比专有的等价更安全。
然而,据Gartner研究副总裁标记司机表示,这只是部分是真实的,他说是一个反补贴理念,即开放可以通过允许糟糕的演员将东西添加到重要的代码中。
他说:“现实介于两者之间——现实是OSS不比私有软件更安全或更不安全。”“这一切都取决于项目如何运行。”
开源软件更安全的理论固然很好,但在实践中,一切都取决于一组给定的贡献者在特定项目上的活跃程度和技术水平。ABI Research的物联网和网络安全高级分析师迪米特里奥斯·帕夫拉基斯(Dimitrios Pavlakis)表示,开源项目团队的bug查找工作与不良行为者对相同代码的彻底筛选有时存在差异。
“开源社区将鸭子狩猎作为一种爱好,”他说。“但袭击者正在这样一个生活。”
因此,对于使用具有开源组件的软件的企业非常重要,深入了解这些组件的支持程度。一些开源项目没有专业支持,这意味着人们维护它们 - 如果他们保持全部项目 - 正在业余时间正在进行工作。
即使这些项目被积极地维护,也不能保证在商业软件中使用这些代码的供应商能够及时地打补丁。
“我们发现最广泛的开源软件的问题是开源资产的低于管理,”驱动程序表示。安全问题可能由开源团队修复,但这并不意味着代码在包含它的产品中修复。“人们会下载并使用它,但不会回去检查[贴片],”他说。
那么,应对软件堆栈中开源漏洞的潜力有什么负责的业务是什么?部分解决方案是技术。可以自动分析给定堆栈的开源组件和交叉引用的软件对已知CVES进行交叉引用,对于寻求保护自己的企业来说,这可能是一个很大的帮助。包括CheckMarx,Vericode和Whitesource等供应商,其中包括这种类型,通常称为软件成分分析(SCA)。
但IDC研究总监吉姆•默瑟(Jim Mercer)表示,同样需要注意的是,SCA软件并不是一个完整的解决方案。一些开源软件只会被部分使用,因此项目或库中未使用的部分的漏洞(仍然会被自动SCA工具发现)可能会产生误报。
“SCA工具将基于CVE如何优先开头的优先级,但并非所有这些都将理解您如何使用该软件,”他说。“你需要自己看它。”
因此,鉴于手动,静态分析复杂软件堆栈的难度和内部工程师的潜在不可能解决它们可能不是的开放源软件问题的难度,静态分析的另一个和可争议的更重要的部分是合同的。熟悉。
这意味着服务级别协议将对安全性分析和问题解决方便的服务级别协议在供应商身上的责任来成为企业的最佳可用工具,以避免潜在的开源软件问题。
“解决方案正建立一个支持业务流程的值的SLA,”驱动程序表示。“如果它是企业关键的,您需要SLA摇滚固体。”