如何避免开源安全噩梦？

• 单人项目是某个个体的热情，或者最多是具有相同愿景的一些专职人员的热情。

• 君主制项目是一个成功的单人项目，如 Linux 获得大规模社区贡献者的支持，因此其原始创建者充当仁慈的暴君。

• 社区项目如 PostgreSQL 因社区目标相似而出现，因共识而前进。

• 企业项目通常以商业项目的分叉形式发布，如 Sun 将 OpenOffice 发布为 StarOffice 的开源分叉，其方向由发布的公司指引。

• 基金会是最正式的形式，它是一个独立的商业结构，Apache 或许就是最好的例子。Apache 的决策由管理委员会做出。

• 知道自己在使用什么。某些生态系统最危险的一个地方是，一个开源项目很容易能够包含另外一个开源项目。当前，很多项目中包含了其它项目作为其组件。如npm等系统使代码引入更为容易。各种工具有助于生成软件物料清单并扫描代码，查看是否依赖于不了解的组件。

• 避免使用单人项目和被遗弃的项目。单个恶意开发人员可引入很多危害，尤其是自动升级的情况下。使用被遗弃项目的危险在于它们可能包含现代漏洞。评估所使用项目每个发布的状况。

• 在发布前先测试。开源项目的危险大多源于未经测试即升级。如果你的代码中包含含有exploit 的开源库，则用户将归责于你。对项目的特定版本进行认证并将其更新至最新版本。分叉你所使用的开源库并分配资源，审计所提交的内容。

• 更新规划。Log4j 漏洞尤其危险，因为它可导致在已将软件拷贝到ROM上的平台上执行任意代码。对于一些物联网设备而言，并不存在升级 Log4j 库进行修复的方法。这就造成无法被修复的长期存在的漏洞。不要把产品置于相同的困境中。对每个组件都提供升级（和降级！）。也不要等到出现安全漏洞时才升级代码，要经常更新至最近版本，以改进代码的安全。

• 为开源项目做贡献。很多开源项目都会在资源较少的情况下发布有用代码。对所使用的开源库进行经济资助或提供开发资源或QA资源。不要将开源贡献局限于你拉取库的那一天——开源需要持续支持，因此在年度预算和长期规划中纳入开源贡献。你要确保最新发布和刚开始拉取的发布一样安全。

• 投资 DevSecOps。假设经常更新是常态而非例外。不管是你所在团队创建的代码还是从开源项目引入的代码，认识到将产生漏洞，需要更新，而在某些情况下需要快速迭代才能赶上变更。DevOps 以 CI/CD 的形式，正在成为入场筹码；通过加入 “Sec”即直接将左移安全检查自动化到开发周期以加大赌注，这样，当更新进入时，你已经提前做好修复准备，不必熬太多通宵，也少了很多辛劳和压力。

https://www.zdnet.com/article/how-to-avoid-an-open-source-security-nightmare/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~

点击“阅读原文”，马上试用开源卫士！