您当前的位置:首页 > 电脑百科 > 程序开发 > 开源程序 > 百科

开源技术已成主流,如何保障自己的代码安全?

时间:2023-06-21 16:04:09  来源:  作者:软件安全灵一

何为开源?

开源,顾名思义,即开放软件源代码。贡献者可将自己编写的程序提交到公开的平台上,其他开发者可以不必再自己动脑筋编写代码,而是直接将贡献者公开的代码进行集成、修改或应用。与传统的闭门造车模式相比,开源这一生态模式无疑极大地提高了生产效率,适应了现代开发市场快速更新迭代的需求。

蓬勃发展:开源技术的黄金时代

根据Synopsys最新发布的统计数据显示,开源技术的应用已经遍布金融服务、金融科技、大数据、AI健康科技和生命科学等多个领域,平均占比达到95%左右。

开源技术的广泛应用与开源项目的飞速发展相辅相成。根据中国信通院发布的《2021开源生态白皮书》数据显示,近三年全球开源项目数量连续增长率超过40%,项目总数已超过两亿;而国内开源项目数量更是呈爆发式增长,2020年Gitee平台上的开源项目数量已高达1500万,同比增长率192%。

双刃剑:开源技术的风险性

开源技术飞速发展的另一面,是层出不穷的风险问题。开源项目的数量增长同时也意味着漏洞数量的剧增,84%的代码库包含至少一个漏洞,同时,利用开源软件漏洞发起的供应链攻击频频发生,2021年末爆发的的Log4j 安全漏洞堪称互联网领域最为著名的安全事件之一,因其影响面广、破坏力强而备受关注。有超过35,863个JAVA开源软件中所使用的开源组件依赖于 Log4j,根据云安全专家评估,每秒有超过 1000次利用Log4j漏洞的尝试。根据相关调查,有73%的企业表示,近期的软件供应链攻击促使他们“大大加强了对开源软件、容器镜像和第三方软件组件的安全保护”。

除去漏洞风险,开源软件使用过程中的合规风险也不容忽视。尽管开源软件以自由、共享、开放为宗旨,但每个开源软件都会附带一个许可证,开源软件的使用必须遵循许可证条款的约束。如果违反了许可证的条款,就会面临被起诉或索赔等法律及合规风险。

2021 年 4 月 30 日,中国国内首个明确 GPL3.0 协议具有法律效力的案例尘埃落定,原告罗盒公司于2017年获得了Virtual App的软著证书,随后将其许可证协议由LGPL v3更换为GPLv3,但被告未遵守变更后的著作权要求,导致被判侵权并罚款。

如果不同的开源软件许可证被同时使用,还会因条款的冲突而存在兼容性风险。据统计,54%的代码库包含存在许可证冲突的开源代码。除此之外,许可证的缺失也是一大风险,1/3的代码库使用了没有可识别许可证或具有定制许可证的代码,这些代码看似可以自由使用,背后其实暗藏了违反版权法及合规条款的风险。

正确使用:如何保证自己的代码质量安全?

针对开源技术存在的两大风险,第一就是要保证代码的安全性,及时排查是否有危险漏洞的存在,并第一时间修复;第二在使用开源代码时,一定要先明确其开源许可证的条款要求,避免在开发及投入使用的后期阶段面临被起诉等法律合规风险;第三,要时刻保持软件安全的风险意识,定期排查风险情况,才能确保整个开发过程的平稳运行。

当然,要做到上述三点,光靠开发者自己进行手工管理肯定是不够的,在编写代码的同时还要做到全面的安全管理,需要投入大量的时间和精力,往往还会出现事倍功半的效果。所以,在做好代码安全管理这件事上,推荐大家学会运用技术工具,不仅可以提高风险排查的效率,也可以避免人工管理出现的错误遗漏等情况。

例如软件成分分析工具,具有漏洞扫描、合规风险感知、新风险预警等多项功能,就可以很好地帮助开发者检测代码质量,保证代码安全,为开发过程降本增效。

软件成分分析平台效果图

提升代码安全的风险意识,规范化使用开源代码,是安全合规地使用开源软件的根本保障。



Tags:代码安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
应用系统外包开发中的源代码安全风险管控措施研究
【摘 要】本文结合对应用系统设计、开发、测试、测评等建设过程的分析,总结了外包应用系统开发中存在的安全保密风险,并根据应用系统安全建设和测评经验,结合安全开发生命周期...【详细内容】
2023-11-14  Search: 代码安全  点击:(82)  评论:(0)  加入收藏
五个提高Java代码安全性的VS Code插件
开发高质量的软件应用程序是一项艰巨的任务,因为它要求将多个组件整合在一起,创造出一个可工作的解决方案。因此,开发人员需要获取尽可能多的帮助和便利,特别是在确保应用程序安...【详细内容】
2023-11-11  Search: 代码安全  点击:(230)  评论:(0)  加入收藏
开源技术已成主流,如何保障自己的代码安全?
何为开源?开源,顾名思义,即开放软件源代码。贡献者可将自己编写的程序提交到公开的平台上,其他开发者可以不必再自己动脑筋编写代码,而是直接将贡献者公开的代码进行集成、修改或...【详细内容】
2023-06-21  Search: 代码安全  点击:(139)  评论:(0)  加入收藏
网站源代码安全审计之wordpress漏洞
User Post Gallery 是WordPress的一个第三方插件,该插件被许多网站运营者使用,由于代码存在远程命令执行漏洞,被许多黑客利用进行攻击网站,导致许多安装wordpress User Post Gal...【详细内容】
2023-02-01  Search: 代码安全  点击:(270)  评论:(0)  加入收藏
JS代码安全之路:用JS对JS代码混淆加密
作者:JShaman.com:w2sft内容预告:本文将实例讲解以下JS代码混淆加密技术:方法名转义和转码、成员表达式转IIFE、函数标准化、数值混淆、布尔型常量值混淆、二进制表达式转为调用...【详细内容】
2021-09-03  Search: 代码安全  点击:(530)  评论:(0)  加入收藏
▌简易百科推荐
GitHub顶流"Web OS"——运行于浏览器的桌面操作系统、用户超100万、原生jQuery和JS编写
Puter 是近日在 GitHub 上最受欢迎的一款开源项目,正式开源还没到一周 ——star 数就已接近 7k。作者表示这个项目已开发 3 年,并获得了超过 100 万用户。根据介绍,P...【详细内容】
2024-03-10  OSC开源社区    Tags:GitHub   点击:(17)  评论:(0)  加入收藏
一文读懂 AutoGPT 开源 AI Agents
Hello folks,我是 Luga,今天我们继续来聊一下人工智能(AI)生态领域相关的技术 - AutoGPT AI Agents ,本文将聚焦在针对不同类型的 AutoGPT 技术进行解析,使得大家能够了解不同 A...【详细内容】
2023-11-27  架构驿站  微信公众号  Tags:AI Agents   点击:(252)  评论:(0)  加入收藏
了解一下开源许可协议
开源许可协议开源许可协议是指允许软件源代码公开、免费获取、使用、修改和分发的许可协议。开源许可协议的目的是促进软件的自由共享和协作,使得开发者可以共同改进和创造新...【详细内容】
2023-11-18  沐雨花飞蝶  微信公众号  Tags:开源   点击:(216)  评论:(0)  加入收藏
七个很实用的开源项目,我们一起学学吧!
本周特推的两个项目都是异常实用的项目,一个接棒上周的视频重制项目 video-retalking 这次则是直接将视频替换成另外一个语种;另外一个则是解决日志阅读问题的 tailspin,让你在...【详细内容】
2023-11-06  HelloGitHub  微信公众号  Tags:开源   点击:(384)  评论:(0)  加入收藏
八个适合程序员接私活赚钱的开源项目
智慧团购一套基于Spring Cloud和Vue.js的社区团购配送系统,经过真实的用户检验且完善的社区团购配送系统,社区团购配送系统包含管理台、集团总店(商家PC端)、城市合伙人、区域...【详细内容】
2023-10-13  前端充电宝  微信公众号  Tags:开源项目   点击:(272)  评论:(0)  加入收藏
八个优秀开源DevOps工具
DevOps(Development和Operations)是一组软件工程过程最佳实践,并非工具,旨在将制造世界的精益概念应用于软件世界。维基百科给出的定义是:“DevOps是一种重视软件开发人员(Dev)和IT...【详细内容】
2023-10-10  andflow  微信公众号  Tags:DevOps   点击:(291)  评论:(0)  加入收藏
开源存在风险的根本原因
漏洞仍然是可以预防的几乎所有(96%)的漏洞仍然是可以避免的。2023年本可以避免21亿次具有已知漏洞的OSS下载,因为有了更好的修复版本——与2022年的百分比完全相同...【详细内容】
2023-10-09     企业网D1Net  Tags:开源   点击:(299)  评论:(0)  加入收藏
中国14岁初中生,开源Windows 12网页版,star数近2k
出品 | OSC开源社区(ID:oschina2013)前几天在网上冲浪,发现名为「Windows 12 网页版」的开源项目——在网页端实现了Windows 12 的交互和 UI。项目亮点: 精美的 UI 设...【详细内容】
2023-09-07    OSC开源社区  Tags:开源   点击:(249)  评论:(0)  加入收藏
苹果开源FastViT:快速卷积Transformer的混合视觉架构
苹果此前在论文《FastViT: A Fast Hybrid Vision Transformer using Structural Reparameterization》中提出的 FastViT 架构已正式开源。论文地址:https://arxiv.org/pdf/23...【详细内容】
2023-08-16  OSC开源社区    Tags:FastViT   点击:(318)  评论:(0)  加入收藏
金融机构使用开源软件,有哪些潜在风险?
面对新技术,无法逃避,只有先行和后行,没有不执行。本文来自社区文章《论述金融机构使用开源软件的潜在风险》及对该文的评论交流,由社区同行分享,也欢迎大家参与探讨。@朱向东 中...【详细内容】
2023-08-14    IT168企业级  Tags:开源软件   点击:(279)  评论:(0)  加入收藏
站内最新
站内热门
站内头条