开源软件安全治理正当时! log4j 2漏洞爆发 (开源软件安全吗?)
近年来,随着云计算、AI、IOT等技术的不断发展,IT等信息技术领域也有了新的突破,可以更好的赋能关键信息基础设施建设。然而,安全作为主旋律,一直是备受关注的焦点。一方面,传统安全防护措施的缺失,对于新型高级威胁缺少防护壁垒;另一方面,开源趋势下,事后防御的手段已不满足安全需求,“安全左移”下提出了更高的安全需求。
尤其是,近日影响力巨大的log4j 2.x的漏洞事件,引起了轩然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都为我们敲响了安全警钟。如何做好此类事件的威胁防护、开源安全的风险治理是需要大家积极探讨的新命题。
12月30日,由悬镜安全、OpenSCA联合主办的全球首款企业级OpenSCA技术开源发布会在北京举行,会议现场,针对“开源软件”、“供应链安全”等热点带来不同角度的学术探讨与实践分享,共同探讨开源产业生态下的安全新态势。
用开源的方式做开源风险治理
大会现场,悬镜安全创始人兼CEO子芽围绕“开源”、“风险治理”、“OpenSCA”等关键词分享了如何用开源的方式做开源风险治理。
悬镜安全创始人兼CEO子芽分享
子芽表示,应用开源是大势所趋,但是避免不了Web通用漏洞、业务逻辑漏洞、开源成分的缺陷及后门等漏洞问题,而用开源的方式做开源风险治理,可以让开源用多样性拥抱不确定性,形成开源新范式。
此次,悬镜安全对外发布OpenSCA开源技术,是为了解决看不清、摸不透、跟不上、防不住的治理难题。OpenSCA作为悬镜安全旗下商业级SCA产品源鉴OSS开源威胁管控平台的开源版本,它继承了源鉴OSS的多源SCA开源应用安全缺陷检测核心能力。悬镜把OpenSCA技术开源,对于守护中国软件供应链安全有着重要的意义。
据了解,悬镜安全数十位来自北大的科研人员、行业专家智库,历时26280个小时潜心打磨,提出了“用开源的方式做开源风险治理”,用简单的配置即可完成对开源组件所使用的成分进行检测,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,进而助力企业进行开源风险的识别及治理。
开源软件下软件供应链安全如何治理
log4j 2漏洞是近期圈内和圈外讨论热度都较高的话题,Apache Log4j是一个基于jAVA的日志记录工具,基本70%以上的企业都有使用的开源代码。log4j 2漏洞的爆发给我们带来的警示是什么?开源的软件如何保证安全?log4j 2究竟是“黑天鹅”还是“灰犀牛”?
基于以上问题国家信息技术安全研究中心总师组专家杨韬认为:“这是一个大事,但并不是新鲜事。对于应对漏洞,产品和服务的提供者以及网络运营者,需要在未来很长的一段时间之内做好心理准备和0Day漏洞共存。”
北京赛博英杰科技有限公司创始人兼董事长表示:“企业要敢于盘家底,要排查有多少系统用了该工具,所有配置设置都要了解清楚。”
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。其中,开源软件的安全问题尤其值得关注。
东方通集团副总裁朱木林认为:“开源社区难以管理,开源代码的漏洞很多,因此要积极拥抱开源,如果厂商、监管以及国家三方合力形成一种机制,一起营运管理开源软件的安全生态。”
“log4j 2漏洞的爆发,站在战略投资的角度来说,让安全领域成为了资本所青睐的对象”,同时国家也会有更多的政策倾斜到这一领域。”百度工程效能部效率云技术总监及开源中国联席产品主席张伟军如是说。
悬镜安全CTO宁戈则认为开源的风险治理是比较严重的问题,因为开源组件的维护都是社区自发的,安全力量投入不足,另外开源社区的发展是无序进化的状态,对于安全治理也是比较难的。
“黑天鹅”一般指那些出乎意料发生的小概率风险事件;“灰犀牛”指那些经常被提示却没有得到充分重视的大概率风险事件。相对于开源软件来说,面对的“黑犀牛”的威胁是更多的,因此安全治理必须要考虑。
据不完全统计,全球97%的软件开发者和99%的企业使用开源软件,基础软件、工业软件、新兴平台软件大多基于开源,开源软件已经成为软件产业创新源泉和“标准件库”。与此同时,开源许可证的兼容性问题、开源项目的合规问题、开源安全漏洞问题和开源知识产权的侵权等问题也日趋凸显。
未来,悬镜安全将依托软件供应链安全技术,布局开源安全产业生态,以前瞻性产业视角视角构筑行业安全生产线,不断拓展人类认知实践的边界,在更大的范围帮助更多的企业实现开源风险治理,助力开源生态健康有序发展。()
原创文章,未经授权禁止转载。详情见 转载须知 。
本文地址: https://www.gpxz.com/article/7f88e75038989c9c0b6c.html
为医药保健类网站,致力于传播医药文化、普及医药知识和提供专业的医学资料,内容主要由专业期刊杂志和专业医学书籍组成。
【豌豆荚】为你提供JJ斗地主APP安卓版下载,历史版本、旧版下载,查看2024最新JJ斗地主手机版介绍、应用截图、网友评论,方便快捷的将安卓版JJ斗地主应用免费下载到手机。
花娃Huawa.com,是国内专业的鲜花转单平台,花店加盟平台,是全国实体鲜花店的网上订单交易中心、鲜花采购批发中心。目前,全国已经有超26w实体鲜花店加盟。花娃为所有从事鲜花销售经营的服务商,提供鲜花订单交易、转单服务。
脚本自媒体网址导航-精选网址分类目录,网址导航,免费网址提交,网站推广,网址大全,自媒体创作平台,在线电子印章生成工具(永久免费)。
韩国美国加拿大签证加急,美国加拿大多次旅游商务签证材料,韩国美国加拿大签证办理流程,韩国签证办理进度查询
快乐小窝提供经典网络小说的评论和详细分析介绍,让网友能够找到每一本好书,同时为网友提供网文作者的最新作品以及作者的资料和最新动态等...
龙维新电是一家专注于高安全、高效率、高科技的数字配电柜生产商,主营产品有LVK475,小体积配电柜,抽屉式电容柜,数字配电柜,数字电容柜,宽带电力载波多功能表,宽带电力载波表,宽带载波多功能表等,公司拥有二十多个发明专利和实用新型专利。
江苏富乐兴制辊有限公司专业生产各种花辊、电雕版、网纹辊、涂饰辊、流延膜消光辊、雾面辊、磨砂辊、镜面辊、皮纹辊、钢对钢对辊、透明板材辊、热轧辊、亚克力板辊、卫生巾吸水膜压辊、汽车脚踏垫防滑压辊。产品广泛用于塑料,皮革、纸张、木材、卫生材料、无纺布、地毯等行业。公司拥有大型车床、铣床、磨床、镜面研磨抛光机等先进设备。
亿联云(Elinkcloud)专注于企业专线、SDWAN、云专线、IDC托管服务,为企业提供北京、天津、上海、广州、深圳IDC托管,SD-WAN组网、SASE安全方案、云专线、BGP带宽、CN2带宽服务。
凯里市第一中等职业学校创办于1985年,是首批教育部认定的“国家级重点职业学校”,1999年与州旅游局共同举办黔东南旅游学校,2013年,被贵州省教育厅定为“省级示范中等职业学校”项目建设学校。
深圳高发气体股份有限公司
儿童数学游戏智力闯关推荐来了,众多父母都担心自己的孩子无法学好数学,而在现代的游戏市场上,数学闯关游戏应运而生,它们巧妙地将宝宝喜欢的事物与数学数字联系在一起,这样宝宝接触游戏后就不会反感数学了,如果你不知道选择哪些数学闯关游戏给孩子玩,小编这就为你准备五款其中的佳作,定能让你的孩子在玩的过程中对数学的认知越来越强,1、,宝宝玩数字,...。
1月16日,2025腾讯产业合作伙伴大会在三亚召开,腾讯集团高级执行副总裁、云与智慧产业事业群CEO汤道生表示,随着,被集成,战略深入推进,腾讯云已与伙伴共建了450多个行业解决方案,服务类伙伴数量去年同比增长超过40%,同时还向伙伴开放了50%的直销客户,伙伴收入占比已经超过1,3,未来,腾讯云将继续坚持长期主义,不做,大水漫灌,,...。
对于很多电脑用户来讲,估计有很多人并不知道要怎么测试电脑的网速。这时候小编就要来向大家介绍下使用ping命令来测试电脑的网络速度和网络连通状态的方法了。那么,Win7怎么ping网速呢?接下来,我们就一起往下看看Win7使用ping命令测试网速的方法。
了解腾讯系产品的都知道,截至目前,视频号是微信系列产品中首个可以集中调配流量,运用推荐机制的去中心化产品,推荐算法规则对于用户拉新和重点推荐优质内容有很大作用,也是微信第一次尝试使用算法推荐,但具体推荐算法逻辑还并不是很成熟,这从微信视频号的频繁改版就可以看得出来,下面小编想谈谈微信视频号分发机制中的社交推荐和个性化算法推荐,一、社交...。
百度SEM认证旨在构建积极健康的搜索营销生态圈,进一步促进搜索引擎营销的繁荣和可持续发展,百度SEM认证主要是对操作人员百度竞价推广能力的一个评判,包括百度竞价的账户设置、创意编辑、匹配方式、出价原则、点击价格、转换成本等,百度SEM认证需逐级认证,初级推广专员认证,中级营销顾问认证和高级营销专家认证,上次已经说到了百度SEM初级认证...。
,到现在为止情绪都还稳定,今天写一下阿里巴巴,关于阿里,不太好写,不好写的原因之一是阿里太大了,作为一个外人,几乎无法看清,二是写阿里存在很大的风险,且不说一大堆人会冲上来骂,有不少人担心会影响他们手里的阿里股票价值而来骂,,被骂的话,大过年的影响情绪,另外,也存在收律师信的风险,写点东西容易么?现在看,阿里跟工商总局的矛盾已经化解,...。
牛肉,一个大家都喜爱的美食,比猪肉富含更多的蛋白质,氨基酸,同时它比猪肉更接近人体需要,能提高机体抗病能力,等等,牛肉还有更多的好处,所以牛肉的销量是非常好的,商家肯定不会错过这么好的商机,所以中华的牛肉品牌还是很多的,下面就是他们的品牌名称,首先,张飞手撕牛肉,这是四川的一个品牌,已经有了很多年的历史,所以发展的很成熟,而且它的价格...。
你只管出资,我们负责建站,你坐等赚钱,看到这里你真的觉得有这种好事儿吗,事情是这样的,最近,,经济半小时,栏目接到群众举报,称有人在推销一种新能源汽车充电桩的投资项目,央视记者在一家社交平台上,发现一个名叫,王美人新能源充电桩招募合伙人,的账号,账号负责人告诉央视记者,只要认购一根充电桩18万元,按照一度电收0.4元的服务费,一台...。
在特斯拉彻底引爆Robotaxi行业不到一周,中国头部自动驾驶公司小马智行宣布赴美IPO,冲击,全球Robotaxi第一股,北京时间10月18日凌晨,小马智行,Pony.ai,正式公开向美国证券交易委员会,SEC,提交IPO招股书,计划在纳斯达克挂牌上市,股票代码,PONY,高盛、美银美林、德意志银行、华泰证券为其担任主承销商,根...。
在2010年5月19日的下午,邯郸市第二中学发生了一起令人痛心的事件,据邯郸百科网报道,一名15岁的女学生,化名小卓,就读于该校,她在劳动路铁路家属院的6楼不幸坠落,不幸当场丧命,悲剧的导火索令人震惊,小卓是因为听MP4被班主任劝退进行自我反思,在跳楼前,她在自家窗户上留下了,我害怕呢,的字迹,显示出她当时的恐惧和无助,家长们对此表示...。
下载地址,类型,安卓游戏,卡牌战略版本,v2.7.7大小,473.49M言语,中文平台,安卓APK介绍星级,评分,★★★★★游戏标签,植物大战僵尸2pvz2塔防手游植物大战僵尸2决战小游戏让大家可以在新赛季中纵情的展现自己的排兵布阵才干,界面上的每一种植物都是新颖好玩的,树立出铜墙铁壁来阻挠坏人僵尸们的入侵吧,为了成为新的荣耀意味,...。
间接去三一,中联买就行了,现内行业情势不好,泵车老板还不了款,三一,中联曾经发进去很多车了,如今去买的话应该廉价点,假设要买泵车上的硬件就不倡导到三一买了,淘宝网就有的买的,加旺旺号码yishuqq或许在淘宝间接搜你要的硬件,他们家是在淘宝卖硬件的,比三一中联的多少钱廉价很多了,哪里有泵车买,最好是二手的,998怎样样啊,靠不靠谱,9...。
早上6点,女儿一脚把我蹬醒了,上个厕所后就没有困意了,拿起手机翻了翻看文章,发现抖音带货一哥大杨哥怒斥淘宝带货一哥李佳琦垄断,挟持商家,大意是,在,疯狂小杨哥,直播间,大杨哥称李佳琦控价控库存,导致小杨哥直播间大牌多数被下架,七老板当场生气,大杨哥称库存有一百个,李佳琦卖七八十个,商家一定和他合作,卖的多了就有权利,挟持商家,表示某平...。
最近我一直在思考IP是什么,怎么去打造自己的个人IP,现在互联网极大地放大了个人的能力,所以,未来个人IP会变得越来越重要,这是趋势,做IP要让用户始于颜值,陷于才华,忠于人品,对价值观的共鸣、人品的认可、价值的肯定而产生的信任和偏好,才是个人IP最终的归宿,我们现在做IP其实都是在做知识IP,个人也都可以打造自己的知识IP做IP的知...。
亚马逊首款智能音箱Echo发布已有4年,国内智能音箱第一波热潮也已经过去两年,三年之痛时,巨头公司主导的智能音箱市场仍在家居、车载等领域寻找新的突破点,4月18日,阿里在北京,Connect&,Care阿里巴巴人工智能实验室2019春季新品发布会,上发布了天猫精灵系列软硬件新品,并阐述了阿里这两年在智能音箱上的思考,新品,带屏智...。
抖音APP作为国内最热社交平台之一,相信很多伙伴都有体验过,大家在这里不仅能观看各种趣味视频,了解国家时政,同时自己也能创作内容获取收益哦,那么你知道抖音怎么开启安全中心吗?下面就是小编带来的介绍,你可以跟着学习一下哦~...。
2020年的春节,新型冠状病毒疫情牵动着全国人民的心,为了防控疫情,教育部日前下发通知,要求2020年春季学期延期开学,学生在家不外出、不聚会、不举办和参加集中性活动,延期开学后,孩子的学习怎么办,隔离病毒,但不能隔离教育,为此,教育机构、互联网企业等纷纷行动起来,宣布了一系列捐钱、捐物资、提供免费课程资源或教学系统等善举,共同投身到...。
