开源软件安全治理正当时! log4j 2漏洞爆发 (开源软件安全吗?)
近年来,随着云计算、AI、IOT等技术的不断发展,IT等信息技术领域也有了新的突破,可以更好的赋能关键信息基础设施建设。然而,安全作为主旋律,一直是备受关注的焦点。一方面,传统安全防护措施的缺失,对于新型高级威胁缺少防护壁垒;另一方面,开源趋势下,事后防御的手段已不满足安全需求,“安全左移”下提出了更高的安全需求。
尤其是,近日影响力巨大的log4j 2.x的漏洞事件,引起了轩然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都为我们敲响了安全警钟。如何做好此类事件的威胁防护、开源安全的风险治理是需要大家积极探讨的新命题。
12月30日,由悬镜安全、OpenSCA联合主办的全球首款企业级OpenSCA技术开源发布会在北京举行,会议现场,针对“开源软件”、“供应链安全”等热点带来不同角度的学术探讨与实践分享,共同探讨开源产业生态下的安全新态势。
用开源的方式做开源风险治理
大会现场,悬镜安全创始人兼CEO子芽围绕“开源”、“风险治理”、“OpenSCA”等关键词分享了如何用开源的方式做开源风险治理。
悬镜安全创始人兼CEO子芽分享
子芽表示,应用开源是大势所趋,但是避免不了Web通用漏洞、业务逻辑漏洞、开源成分的缺陷及后门等漏洞问题,而用开源的方式做开源风险治理,可以让开源用多样性拥抱不确定性,形成开源新范式。
此次,悬镜安全对外发布OpenSCA开源技术,是为了解决看不清、摸不透、跟不上、防不住的治理难题。OpenSCA作为悬镜安全旗下商业级SCA产品源鉴OSS开源威胁管控平台的开源版本,它继承了源鉴OSS的多源SCA开源应用安全缺陷检测核心能力。悬镜把OpenSCA技术开源,对于守护中国软件供应链安全有着重要的意义。
据了解,悬镜安全数十位来自北大的科研人员、行业专家智库,历时26280个小时潜心打磨,提出了“用开源的方式做开源风险治理”,用简单的配置即可完成对开源组件所使用的成分进行检测,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,进而助力企业进行开源风险的识别及治理。
开源软件下软件供应链安全如何治理
log4j 2漏洞是近期圈内和圈外讨论热度都较高的话题,Apache Log4j是一个基于Java的日志记录工具,基本70%以上的企业都有使用的开源代码。log4j 2漏洞的爆发给我们带来的警示是什么?开源的软件如何保证安全?log4j 2究竟是“黑天鹅”还是“灰犀牛”?
基于以上问题国家信息技术安全研究中心总师组专家杨韬认为:“这是一个大事,但并不是新鲜事。对于应对漏洞,产品和服务的提供者以及网络运营者,需要在未来很长的一段时间之内做好心理准备和0day漏洞共存。”
北京赛博英杰科技有限公司创始人兼董事长表示:“企业要敢于盘家底,要排查有多少系统用了该工具,所有配置设置都要了解清楚。”
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。其中,开源软件的安全问题尤其值得关注。
东方通集团副总裁朱木林认为:“开源社区难以管理,开源代码的漏洞很多,因此要积极拥抱开源,如果厂商、监管以及国家三方合力形成一种机制,一起营运管理开源软件的安全生态。”
“log4j 2漏洞的爆发,站在战略投资的角度来说,让安全领域成为了资本所青睐的对象”,同时国家也会有更多的政策倾斜到这一领域。”百度工程效能部效率云技术总监及开源中国联席产品主席张伟军如是说。
悬镜安全CTO宁戈则认为开源的风险治理是比较严重的问题,因为开源组件的维护都是社区自发的,安全力量投入不足,另外开源社区的发展是无序进化的状态,对于安全治理也是比较难的。
“黑天鹅”一般指那些出乎意料发生的小概率风险事件;“灰犀牛”指那些经常被提示却没有得到充分重视的大概率风险事件。相对于开源软件来说,面对的“黑犀牛”的威胁是更多的,因此安全治理必须要考虑。
据不完全统计,全球97%的软件开发者和99%的企业使用开源软件,基础软件、工业软件、新兴平台软件大多基于开源,开源软件已经成为软件产业创新源泉和“标准件库”。与此同时,开源许可证的兼容性问题、开源项目的合规问题、开源安全漏洞问题和开源知识产权的侵权等问题也日趋凸显。
未来,悬镜安全将依托软件供应链安全技术,布局开源安全产业生态,以前瞻性产业视角视角构筑行业安全生产线,不断拓展人类认知实践的边界,在更大的范围帮助更多的企业实现开源风险治理,助力开源生态健康有序发展。()
原创文章,未经授权禁止转载。详情见 转载须知 。
本文地址: https://www.gpxz.com/article/7f88e75038989c9c0b6c.html
主营业务有:外墙清洗、地面防滑、物业保洁、玻璃清洗、地毡清洗、开荒保洁等,为了更好的服务广大客户,公司对内实行定期技术实践培训、不断更新先进的清洁设备,规范企业管理
海鲜的做法_家常海鲜的做法非常简单易学。豆果美食提供的图文海鲜的家常做法大全和海鲜的视频,用最短的时间让你学会海鲜的做法
果博东方又名(福布斯)果博东方客服开户电话19188599997开户-上分-上分注册-官网微信(19188599997)第一步打开果博官网,第二步联系微信注册后输入账号,【果博娱乐联系电话】【果博娱乐在线开户】【需要办理业务加以上联系方式】【24小时在线】【公司直属开户】【公司直属客服】
百斯特机械工具有限公司百斯特机械工具有限公司系中国山东机床工具协会成员单位、专业生产各种木工刀柄,如NBT30,ISO15,ISO20,ISO30,BT刀柄,高精度夹头,在机床附件及数控工具业内享有较好声誉。
飞进仓库位于上海市嘉定工业园区,仓库为工业厂房标准库,仓库有经验丰富和协调处理能力强的精英团队管理,为仓库安全作业保驾护航021-69925759,69925623
大连荣兴暖通设备有限公司专业从事燃油燃气(热水锅炉,蒸汽发生器),生物质颗粒(燃烧机,热水锅炉,蒸汽发生器)制造,设计,销售,大连锅炉哪家好,就在大连荣兴暖通
世智科换致力于探索科技与时尚的完美结合,提供最新的智能产品和生活美学资讯。我们聚焦于智能家居、创新科技和生活方式,帮助用户在快节奏的现代生活中,找到提升生活品质的独特方式。网站不仅提供详细的产品评测和实用技巧,还分享设计灵感和潮流趋势,让您轻松驾驭科技带来的便利与时尚。
开关电源,明纬开关电源,LED电源,防水电源,医疗电源,明纬电源-明纬(广州)负责明纬电源产品(开关电源,明纬开关电源,LED电源,防水电源,医疗电源,明纬电源)的制造生产及国内外客户销售服务与技术支持,主要有:开关电源,明纬开关电源,LED电源,防水电源,医疗电源,明纬电源
本站是工信部认证的.购物域名的注册管理机构官网。.购物是经ICANN批准的全球通用的国际顶级中文域名,中文域名符合中国人的书写习惯,更好的展示中国人在互联网上的身份认同和语言认同。电商选域名-就选.购物,中文辨识简单,品牌直观好记忆,资源丰富。
郑州聚亿科贸有限公司生产:活性炭、活性炭滤料、粉状活性炭、椰壳活性炭、果壳活性炭、黄金活性炭、白刚玉、棕刚玉、金刚砂、黑刚玉、石英砂。
千小易科技
华为静态资源平台
近日,YahooPipes官方发文称,YahooPipes宣布即将关闭,从2015年8月30日起,用户不再能够创建新的Pipes,YahooPipes团队将会在直读模式下保持基础设施运行至9月30日,关闭原因官方表示公司要专注关键产品,确保资源合理运用,YahooPipes曾是非常受欢迎的Web聚合应用构建工具,卢松松博客的RSS...。
在与大中型网站SEO人员沟通的过程中常听到这样的报怨,SEO地位低,净收拾产品技术编辑的烂摊子了,起初我们感觉非常不可思议,但后来发现这种情况还非常普遍,相应的,对于那些可以从搜索引擎获得大批流量的站点来说,SEO思维渗透到了每个岗位,产品人员在提交项目MRD时,网页标题的写法是必不可少的一部分,编辑对文章内容负责的同时,要设计出吸引...。
对于广大女性消费人群来说,美容是人们日常生活中花费较高的项目,高品质的美容品牌是当下消费者的刚需,法澜娇人品牌的出现为数以万计的消费者带来福音,公司开展智能护肤、科技护肤的模式,根据消费者的年龄和肌肤状态提供相应的服务,让人们的肌肤得到很大的改善,变得越来越多光滑、富有弹性和光泽,在市场上得到万千消费者的好评,接下来小编为大家介绍法澜...。
IEEExATEC科技思享会是由专业技术学会IEEE与前沿科技探索社区ATEC联合主办的技术沙龙,邀请行业专家学者分享前沿探索和技术实践,助力数字化发展,在社会数字化进程中,随着网络化、智能化服务的不断深入,伴随服务衍生出的各类风险不容忽视,本期分享会的主题是,网络欺诈的风险与对抗,五位嘉宾将从不同的技术领域和观察视角,围绕网络欺诈...。
发表在明基投影仪2022,6,1819,33从小有在卧室看电影的习惯,试过电视、懒人支架,ipad、笔记本和手机,长期躺床还是感觉会不舒服,所以心心念新房装修的话可以整一个大投影,预期120英寸,但是目前发现激光电视摆位是个大问题,并不想放在天花板上,想着也许有行家可以帮忙解答,设备明基i967L为例投射比,0.252,尺寸,500m...。
文字链接认证代码普通联盟标志认证代码企业广告联盟标志认证代码广告联盟评测代码说明,本页面的认证代码为星网移动广告联盟专用评测代码,站长需懂简单html知识,直接复制代码粘贴到联盟网站相应页面即可使用,本代码不适用于其他广告联盟网站请勿获取!文字认证,文字链接代码认证适用所有类型的广告联盟,复制代码后放在星网移动广告联盟网站首页底部或友...。
不是骗人的,但是也不是你想的那样子那么好,再者,你感觉凭你的能力能胜任央视这个平台吗,所以,这些打着央视动画的名义招聘的只是央视的外包公司,给央视做一些杂活,或许你们连去央视看一看的机会都木有,就是这样,公司不假,但是国内基本没有做动画好的公司,所以,你慎重考虑,多考察一下啊三部门联合发布9个新职业涉及哪些领域,三部门联合发...。
although的用法及例句如下,1、although用于连词,although不能与but一同连用,2、although,虽然;虽然;但是;但是,conj.虽然;虽然;无论如何;但是,词根词缀,although,conj.虽然all一切的,所有的,though虽然,3、although的基本意思是,虽然,虽然,或,但是,但是,,罕用...。
关于市场中少数的大尺寸的SUV而言,无论是内在还算内在,都能满足生产者的须要,作为西风风景旗下车型中的关键角色,风景5802020款1.5T智能奢侈型是不少生产者想选购的车型,上方小编就来简明引见一下这款车,而后再说说买它须要多少钱能力落地吧,该车车身长宽高4700,1845,1715mm,轴距2780mm,性能性能方面,风景580装...。
[全球时报驻德国特约记者青木全球时报记者倪浩],不寻常的提议,在7月4日欧盟开局对中国产电动汽车加征关税之前,德国,商报,爆料称,不时对此持推戴意见的德国总理朔尔茨提出了自己的倡导,欧中双方对汽车出口征收雷同高的关税,德国,商报,27日征引德国政府和欧盟外部人士的信息报道称,目前传进去的正在探讨的税率是15%,但报道说,这一数字仍有...。
AVGMAKERDS是一款专门用来制作AVG游戏的工具,支持一系列AVG所需要的元素和效果,并提供素材转换,封包和脚本转换等功能
网站专题,提供网站的相关文章和相关资讯,在本栏目你可以看到网站这个内容的相关各类文章很多篇,如有不足请提供给我们更多网站的文章供大家查阅.
科技巨头走向衰落并不是爆炸般一瞬间的事,而是随着一种缓慢的节奏,在人们毫无感觉的情况下走向灭亡,通常来说,这并不会马上反映在公司的财报上,过去的科技巨头DigitalEquipment和Wang,并非一夜之间消失,而是缓缓沉沦,麻木于维护已有产品,无法跟上科技进步的步伐,同样的事情屡见不鲜,曾经不可一世的微软,垄断了个人电脑软件市场的...。
很多前沿产业化成果都是从校园和研究机构脱胎的,自动驾驶领域中也是如此,如果说哪个大学拥有孕育汽车智能和自动驾驶技术产业化落地的摇篮,位于美国旧金山湾区的UCBerkeley,加州大学伯克利分校,应该算一个,这所世界知名的公立学府,曾送走了包括英特尔创始人之一戈登·摩尔、苹果公司联合创始人斯蒂夫·沃兹尼亚克、特斯拉联合创始人马克·塔彭宁...。
9月2日,华为终端官宣华为见非凡品牌盛典及鸿蒙智行新品发布会,将于9月10日举办,并发布了Z形态元素的预热海报,9月3日,华为终端发布一段预热视频,而华为高管余承东、何刚在转发微博时,有不少网友发现其微博小尾巴显示为,华为MateXT非凡大师,结合各种消息和预热海报中的Z形态元素来看,华为MateXT非凡大师很有可能就是大家猜测的全...。
9月17日,2022年医学人工智能大会,CMAI2022,暨第二届,中国医学学术期刊发展,高端论坛将于线上举办,本次高峰论坛邀请了顶尖医院的放射科主任及人工智能技术的权威专家,论坛由,Research,、,中国图象图形学报,、,RadiologyofInfectiousDiseases,、,协和医学杂志,、,磁共振成像,、,Intel...。
发表在极米投影仪2021,12,2313,20激光电视逐渐走入更多家庭的视野中,各大投影仪厂商也纷纷加入来分一杯羹,峰米最近就新发布了一款全色激光电视峰米T1,这款激光电视和极米A2相比哪个更好呢,本文就为大家详细对比极米A2和峰米T1激光电视,看看有什么区别,1.极米A2和峰米T1光学参数对比极米A2和峰米T1虽然都是激光电视,但是...。
