欢迎来到永胜在线
国内最专业的科技资讯提供商

#OSSummit:不要忽视GitHub的安全警告

一个组织如何知道它使用第三方库构建的开源项目是否存在漏洞?如果组织有代码在GitHub上,有一个集成的警报系统,但是理解如何使用这些警报可能并不像你想象的那么明显。

8月22日,在加州圣地亚哥举行的开源峰会上,Verizon Media开源与技术战略高级主管Gil Yehuda概述了在GitHub上构建开源项目的组织所面临的安全挑战和机遇。

事实上,GitHub已经成为许多开源组织(包括Verizon Media)共享代码的主要场所。Yehuda解释说Verizon Media是一个综合企业,它实际上是由雅虎和AOL组成的,包括许多不同的在线媒体属性。在所有这些特性中,Verizon Media已经启动了330多个开源项目,从螺丝刀(一种持续交付技术)到Denali design(一种用于开源项目的用户界面设计语言)。

Yehuda领导的开源项目办公室(OSPO)致力于为Verizon Media如何处理开源提供一种程序化的方法。这是一项涉及法律遵从性问题以及正在进行的项目维护的工作,而这正是安全性发挥作用的地方。

“当我们发布代码并将其放到GitHub上,而代码依赖于某个东西,而这个东西又有漏洞时,我们应该在意吗?”耶胡达问观众。“许可证上说只有有限的保证。”

Yehuda补充说,仅仅因为代码在GitHub上,并不一定意味着代码做了任何有用的事情。尽管如此,他指出,Verizon Media希望建立自己的网络。开放源代码程序,建立良好的声誉,如果有人决定使用他们的代码,有一定的信心,代码不是垃圾。

“我们认为OSPOs需要关注公开代码的安全性,”耶胡达强调。

使用GitHub,获得项目代码中安全漏洞的通知是与安全警报集成的功能。每当使用具有安全漏洞的代码库时,项目的维护者都会从GitHub得到一个警告。Yehuda补充说,在很多情况下,修复安全问题只是升级到软件库发布的最新版本。

然而,Yehuda指出的一个挑战不是针对单个项目,而是针对大规模管理多个项目。他指出,一个项目维护者得到一个警告并努力修复这个问题是很好的,但是如果单个维护者忽略了这个警告而不修复这个问题,会发生什么呢?

为了帮助解决这个问题,Verizon Media启动了一个名为GitHub Security Alerts Workflow的项目,该项目的目的是通过与Jira问题跟踪软件平台集成的方式,帮助大规模地自动化安全警报的报告和警报。Yehuda说,其基本思想是为安全警报启用企业工作流。

使用工作流模型,Yehuda建议,例如,如果有一个项目由于安全问题没有被积极地更新,那么可以将该项目标记为此类项目,以警告用户潜在的风险。

“也许我们需要将项目状态更改为archive,然后更改项目上的read me,说这曾经是一个很棒的项目,但是我们的维护者现在不维护它了,”耶胡达说。“如果你想成为一名维修工,并让它变得更好,请让我们知道,但在这种情况发生之前,买家要小心。”

在Yehuda看来,一个开源项目可以被GitHub alerts识别为已知的漏洞,这一事实不应该被视为弱点,而应该被视为优点。他指出,真正的问题不在于开源软件是否比专有软件更安全。

“开源有潜力比开源软件更安全,因为更多的人可以访问代码,所以有更多的人能够修复它,”耶胡达说。

历史上的今天
八月
28
    哇哦~~~,历史上的今天没发表过文章哦
赞(0)
未经允许不得转载:永胜在线 » #OSSummit:不要忽视GitHub的安全警告
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • Q Q(选填)

永胜在线科技网 更权威 更方便

永胜在线联系我们