全球开源组件安全现状大揭秘:C/C++最易受攻击、70% 漏洞无效!(11)
调查结果显示 , 开发人员普遍缺乏标准化的最佳实践来确定开源漏洞的优先级 。
结果还表明 , 开发人员在确立修复优先级时 , 通常都会参考现成的数据 , 例如应用程序的重要性或修复的实际效果 。 但是 , 开发人员划分优先级时参考的数据不一定是正确的数据 。
与黑客较量时 , 时间至关重要 。 特别是对于开源项目而言 , 因为它的漏洞数据是公开的 。
因此 , 缺乏确定漏洞优先级的实践将导致资源使用率的低下 , 还会让开发人员将时间投入到“错误”的漏洞上 。
开发人员普遍缺乏划分开源漏洞优先级的标准实践
事实上 , 开发人员应该根据漏洞对产品安全性的影响程度 , 来确定开源漏洞的优先级 。
易受攻击的功能不一定会导致项目易受攻击 , 因为私有代码不一定会调用易受攻击的功能 。
只有根据漏洞的有效性确定漏洞是否会构成实际的风险 , 才能为安全和开发团队节省宝贵的时间 。
推荐阅读
- 手机游戏|中国游戏登顶全球第一,从日本吸金60亿,还从美国赚回64亿
- 腾讯|腾讯49亿日元投资目标明确:3款新游明后年全球发行,强化主力IP
- 小乔|孙尚香首款全球联动皮肤上线,小乔或迎来新传说?花嫁返场无望
- Xbox|将拥抱元宇宙世界?Xbox20年庆典看点十足,全球玩家为何兴奋?
- 艾琳|【欢迎来到PGC21全球总决赛】 PUBG
- 沙雕|神回复:为什么LOL不设置全球总决赛的海选赛,让普通玩家也有参与感
- s11全球总决赛|炉石传说平衡补丁公布,2400点奥术之尘,不知道你能拿到多少?
- yjj|YJJ畅谈永劫无间全球赛事,不小心一句话说哭百万网友!
- steam|S11全球总决赛结束,LOL的世界观,没有非黑即白的
- 电子竞技|S12或迎来双败制?Riot全球电竞负责人发话:会去仔细研究!