日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
開(kāi)源軟件漏洞的發(fā)現(xiàn)周期超過(guò)四年

近日,GitHub在其年度Octoverse狀態(tài)報(bào)告中指出,開(kāi)源軟件安全漏洞在被披露之前的發(fā)現(xiàn)周期超過(guò)四年。

為新興等地區(qū)用戶(hù)提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù),及新興網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為做網(wǎng)站、網(wǎng)站建設(shè)、新興網(wǎng)站設(shè)計(jì),以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專(zhuān)業(yè)、用心的態(tài)度為用戶(hù)提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶(hù)的要求,就會(huì)得到認(rèn)可,從而選擇與我們長(zhǎng)期合作。這樣,我們也可以走得更遠(yuǎn)!

報(bào)告分析了超過(guò)45,000個(gè)活動(dòng)代碼目錄,以深入了解開(kāi)源安全性(漏洞)以及開(kāi)發(fā)人員在漏洞報(bào)告、警報(bào)和補(bǔ)救方面的做法。

其他發(fā)現(xiàn)

通過(guò)分析依賴(lài)關(guān)系圖收集的長(zhǎng)達(dá)一年的數(shù)據(jù)后,報(bào)告發(fā)現(xiàn)GitHub上的大多數(shù)項(xiàng)目至少具有一個(gè)開(kāi)源依賴(lài)項(xiàng)。

對(duì)于使用JavaScript(94%)、Ruby(90%)和NET(90%)的用戶(hù)來(lái)說(shuō)百分比最高。JavaScript和Rudy項(xiàng)目的中位數(shù)直接依賴(lài)項(xiàng)數(shù)量最多(分別為10和9),而JavaScript的中位數(shù)可傳遞依賴(lài)項(xiàng)數(shù)量最多(即它們的直接依賴(lài)項(xiàng)本身具有其他依賴(lài)項(xiàng))。

另一個(gè)有趣的發(fā)現(xiàn)是,大多數(shù)開(kāi)源軟件漏洞是由錯(cuò)誤而不是惡意攻擊引起的。

“對(duì)來(lái)自六個(gè)生態(tài)系統(tǒng)的521個(gè)隨機(jī)樣本進(jìn)行的分析發(fā)現(xiàn),有17%的代碼提交與后門(mén)嘗試之類(lèi)的明顯惡意行為有關(guān)。在這17%的統(tǒng)計(jì)中,絕大多數(shù)來(lái)自npm生態(tài)系統(tǒng)?!?/p>

他們解釋說(shuō),后門(mén)最明顯的跡象是攻擊者通常是通過(guò)賬戶(hù)劫持來(lái)獲取對(duì)程序包源代碼存儲(chǔ)庫(kù)的訪問(wèn)權(quán)限,而針對(duì)這些嘗試的最后一道防線是在開(kāi)發(fā)管道中進(jìn)行仔細(xì)的同行評(píng)審,尤其是來(lái)自新提交者的更改。

“許多成熟的項(xiàng)目都進(jìn)行了認(rèn)真的同行評(píng)審。攻擊者已經(jīng)意識(shí)到了這一點(diǎn),因此他們經(jīng)常試圖在發(fā)行時(shí)間節(jié)點(diǎn)通過(guò)版本控制之外的手段來(lái)實(shí)施破壞,例如通過(guò)對(duì)軟件包名稱(chēng)進(jìn)行篡改來(lái)欺騙人們下載惡意代碼版本?!?/p>

GitHub指出,人為失誤產(chǎn)生的漏洞也能具有類(lèi)似惡意攻擊的破壞性,而且更有可能影響受歡迎的項(xiàng)目。

開(kāi)源安全的最佳實(shí)踐

“使用開(kāi)源軟件時(shí),安全始終是關(guān)注的重點(diǎn)。我們的分析表明,發(fā)現(xiàn)的潛在漏洞與所編寫(xiě)代碼的行數(shù)成正比?!眻?bào)告指出:“開(kāi)源的力量和希望來(lái)自社區(qū)。通過(guò)與數(shù)百萬(wàn)開(kāi)發(fā)人員的聯(lián)手,不僅可以開(kāi)發(fā)軟件包而且可以識(shí)別和修復(fù)漏洞,我們可以更快、更安全地開(kāi)發(fā)軟件?!?/p>

報(bào)告強(qiáng)調(diào),開(kāi)源安全的關(guān)鍵是利用自動(dòng)警報(bào)和補(bǔ)丁工具。“我們自己的分析發(fā)現(xiàn),自動(dòng)生成pull request更新補(bǔ)丁版本的存儲(chǔ)庫(kù),平均修復(fù)時(shí)間為33天,這比沒(méi)有自動(dòng)更新的存儲(chǔ)庫(kù)要快13天或1.4倍。”


新聞標(biāo)題:開(kāi)源軟件漏洞的發(fā)現(xiàn)周期超過(guò)四年
文章地址:http://m.5511xx.com/article/dpeieoi.html