报告指出开源安全漏洞

FortifySoftware于7月21日发布了一份报告,该报告可能会让开源倡导者和应用程序开发人员早晨平静下来七匹狼彩票注册。

称之为“开源安全研究”Fortify赞助的报告由安全顾问LarrySuto编写,使用Fortify的技术检查了11个最常见的漏洞开源软件包。每个版本测试了两到四个版本,包括JBossApplicationServer的版本,ApacheDerby和OpenCMS。

该研究发现了22,828个跨站点脚本漏洞和15,612个SQL注入问题。此外,安全问题的数量通常会从一代发行版增加或保持不变例如,在Hipergate2.1.2.0中发现了10,734个问题,而在Hipergate3.0.2.6中发现了14,425个问题,尽管后一个版本的代码行数减少了大约28,000个。

“我们寻求输出开源用户的三个安全资源可能依赖于:文档涵盖了他们开发的七匹狼彩票注册软件的安全隐患和安全部署,一个专门的电子邮件别名,供用户报告安全漏洞或轻松访问内部安全专家以讨论安全问题,“报告中写道。“我们发现很少有开源项目能够提供这些资源。”

进一步阅读非结构化数据分类的六大理由IT科学案例研究:无代码收费应用程序开发...报告没有提供什么include是关于相关开发过程中涉及的安全实践的直接证据。

“有一点可以说企业使用的流行应用程序很容易受到攻击,”NickSelby说道。451集团的分析师。“然后再转发并从中推断并说开源软件比专有软件更危险或更危险,因为数据没有显示出来。数据显示被检查的应用程序存在漏洞所有应用程序都存在漏洞。“

这不应该被解释为报告中没有包含一些合理的建议,例如任命一名安全专家有权否决投入生七匹狼彩票注册产和强制执行流程在整个开发生命周期中集成安全性,例如威胁建模。它还建议开发人员利用JOR(JavaOpenReview)项目,该项目自2006年以来一直由Fortify领导。报告中包含的11个项目中有4个-Tomcat,Hibernate,OFBiz和Struts-实际上是JOR的一部分。

“当企业看待开源应用程序时,他们通常依赖于许多不同的东西,”塞尔比说。“他们依靠社区本身来亲自钓鱼瑕疵,他们“正在做出定期和纪律的假设。我不确定这样做是否有意义,而不是通过专有软件做到这一点。...安全性必须融入应用程序开发生命周期。“

Fortify首席技术官RogerThornton在一份声明中建议企业认真对待开源安全。

”今天“该企业由来自各种来源的软件构建和运营,“他说。“该软件可以在内部开发,购买现成的,外包的,或者我们在七匹狼彩票注册开源的基础上更频繁地看到。为了减轻不安全应用程序造成的业务风险,公司必须采用一种流程,使其能够评估,修复和防止所有业务软件中的安全漏洞,无论来源如何。“

上一篇:Semmle通过软件工程分析平台走向全球 下一篇:没有了

本文URL:http://www.maytei.com/lipin/shangwulipin/201909/1759.html

Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。