安全|Apache联合创始人呼吁合作防止Log4Shell问题再次发生
Apache Web 服务器的主要开发人员布莱恩·贝伦多夫(Brian Behlendorf)近日发布文章,呼吁多个开源基金会紧密合作,防止 Log4Shell 此类问题再次发生 。文章中提及了目前开源领域安全工作资源不足,在制定标准和要求以减少重大漏洞的机会方面受到束缚,并提出了几个建议来减轻安全风险 。
文章图片
图片来自于 Flickr
为防止 Log4Shell 此类问题再次发生,Brian Behlendorf 倡议开源软件基金会们可以做以下几件事,以减轻安全风险:
● 建立一个组织范围内的安全团队,接收和分流漏洞报告,以及协调对其他受影响项目和组织的回应和披露 。
● 通过CI工具执行频繁的安全扫描,以检测软件中的未知漏洞并识别依赖关系中的已知漏洞 。
● 对关键代码进行不定期的外部安全审计,特别是在新的重大发布之前 。
● 要求项目使用测试框架,并确保较高的代码覆盖率,这样就可以阻止没有测试的功能,并主动淘汰未被使用的功能 。
● 要求项目删除已废弃或易受影响的依赖关系 。(一些Apache项目没有受到Log4j v2 CVE的影响,因为他们仍在使用Log4j v1,该版本有已知的弱点,并且自2015年以来没有得到更新!)
● 鼓励并最终要求使用SBOM格式,如SPDX,以帮助每个人更容易和快速地跟踪依赖关系,从而使漏洞更容易被发现和修复 。
● 鼓励并最终要求维护者展示对安全软件开发实践基础知识的熟悉程度 。
【安全|Apache联合创始人呼吁合作防止Log4Shell问题再次发生】其中的许多内容都被纳入了CII最佳实践徽章中,这是将这些内容编入客观可比的指标的首次尝试之一,这项工作现在已经转移到OpenSSF 。OpenSSF还为开发者发布了一个关于如何开发安全软件的免费课程,而SPDX最近也被公布为ISO标准 。
推荐阅读
- 安全|温州一超市遭“比特币勒索病毒”攻击,储值系统瘫痪
- 架构|一“融”解千愁,SASE因何成为未来网络安全的新范式?
- 安全|杀毒软件诺顿360自带挖矿功能被批 厦门大学示警:慎重使用
- 社交|Doordash联合创始人兼CEO已加入Meta董事会
- 安全|黑客组织Patchwork感染自己开发的恶意程序 导致内部系统被曝光
- mp|【邀请函】网络安全渗透测试培训课程等你来!
- Apple|新专利或将助苹果零售店通过新安全措施来阻止抢劫行为的发生
- 功能|微软发布 Win11 KB5009566 累积更新:修复多项安全问题
- 新浪数码|为了让零售店更安全 苹果研发展示品防盗抢专利
- 安全|Check Point安全报告显示去年企业受到的总体网络攻击量有明显增加