Apache Web 伺服器的主要開發人員布萊恩·貝倫多夫(Brian Behlendorf)近日釋出文章,呼籲多個開源基金會緊密合作,防止 Log4Shell 此類問題再次發生。文章中提及了目前開源領域安全工作資源不足,在制定标準和要求以減少重大漏洞的機會方面受到束縛,并提出了幾個建議來減輕安全風險。
圖檔來自于 Flickr
為防止 Log4Shell 此類問題再次發生,Brian Behlendorf 倡議開源軟體基金會們可以做以下幾件事,以減輕安全風險:
● 建立一個組織範圍内的安全團隊,接收和分流漏洞報告,以及協調對其他受影響項目群組織的回應和披露。
● 通過CI工具執行頻繁的安全掃描,以檢測軟體中的未知漏洞并識别依賴關系中的已知漏洞。
● 對關鍵代碼進行不定期的外部安全審計,特别是在新的重大釋出之前。
● 要求項目使用測試架構,并確定較高的代碼覆寫率,這樣就可以阻止沒有測試的功能,并主動淘汰未被使用的功能。
● 要求項目删除已廢棄或易受影響的依賴關系。(一些Apache項目沒有受到Log4j v2 CVE的影響,因為他們仍在使用Log4j v1,該版本有已知的弱點,并且自2015年以來沒有得到更新!)
● 鼓勵并最終要求使用SBOM格式,如SPDX,以幫助每個人更容易和快速地跟蹤依賴關系,進而使漏洞更容易被發現和修複。
● 鼓勵并最終要求維護者展示對安全軟體開發實踐基礎知識的熟悉程度。
其中的許多内容都被納入了CII最佳實踐徽章中,這是将這些内容編入客觀可比的名額的首次嘗試之一,這項工作現在已經轉移到OpenSSF。OpenSSF還為開發者釋出了一個關于如何開發安全軟體的免費課程,而SPDX最近也被公布為ISO标準。
![為何買華為手機的人越來越少了?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)