網站開發(fā)過程中開源革命正在進行中。越來越多的企業(yè)加入開源潮流，開發(fā)內部和面向客戶的應用程序。免費提供源代碼，肆無忌憚的靈活性，大幅減少應用程序開發(fā)時間，恢復能力以及其他一些優(yōu)勢促使此舉。但是，有很大的優(yōu)勢也會帶來很大的風險。

開源的本質使企業(yè)應用程序開發(fā)團隊幾乎無法控制其代碼的來源和性質。開源代碼可能帶有漏洞的可能性很高，黑客可以利用這些漏洞。

那么企業(yè)如何應對黑客威脅并確保他們仍能從開源中獲益呢？

非常小心下載

通過Internet可以免費獲得數(shù)十種不同的開源庫，工具，框架和代碼片段，企業(yè)選擇的變體很可能存在漏洞。即使是非常受歡迎的Ruby on Rails Web應用程序框架，以及用于快速更新的非常廣泛的用戶社區(qū)，也遭受了多個安全漏洞，使200,000多個站點面臨可能導致遠程代碼執(zhí)行的攻擊風險。

僅選擇由已建立的聯(lián)盟維護的開源庫版本，專門用于增強和維護軟件的原因。這樣的財團將在代碼中占有一席之地。他們幾乎肯定會得到慷慨贊助商的資助，使他們能夠在發(fā)現(xiàn)漏洞時發(fā)布快速補丁更新。

對于企業(yè)而言，他們需要一個明確的開源使用政策，載有：

----可信網站的白名單，可從中下載源庫。最可靠的選擇是開源倡議推薦的網站。

----安全性做和不做的列表，以防止系統(tǒng)管理員和其他用戶從可疑來源下載虛假的開源軟件。有一個記錄完備的安全策略，明確指導安裝和維護開源。

建立一個系統(tǒng)

商業(yè)閉源套件是通過結構化和正式的程序開發(fā)的，例如進行需求分析，定義驗收標準，評估產品，將產品與競爭選項進行比較，測試功能和安全功能等。開源代碼可能不一定經過這種嚴格的評估或驗證。沒有捷徑可供應用開發(fā)團隊在瘋狂中建立一種方法。

制定流程以確保充分控制，并及時更新所有第三方代碼。

分析環(huán)境以識別可能的威脅。例如，使用流行的開源庫可以讓攻擊者更容易識別漏洞并發(fā)動攻擊。然而，有時，最大的威脅甚至可能不是外部的，而是惡意內部人士。了解系統(tǒng)受到攻擊的各種方式，并相應地保護數(shù)據(jù)。建立一個由系統(tǒng)，網絡和安全管理員組成的專門團隊來實施策略，并根據(jù)業(yè)務環(huán)境的變化不時審查策略。

應用安全工具

政策和保障措施只能在一定程度上得到保障，并需要通過有效的安全工具予以加強。

許多開源項目不會發(fā)布補丁，而只是發(fā)布一個修復問題的新版本。

以下是一些值得考慮的工具：

源代碼掃描程序（如FlawFinder和RATS（安全粗略審計工具））可識別源代碼中的潛在安全問題。這些源代碼掃描程序進行模式匹配，以突出顯示具有潛在漏洞的代碼區(qū)域，并帶來安全風險，如緩沖區(qū)溢出，競爭條件，shell元字符危險和差的隨機數(shù)獲取。

諸如SARA（安全審計研究助理）和Nessus等漏洞掃描程序會掃描網絡中的漏洞。

采用深度防御策略或分層方法來保護網絡，在各個層面（從應用程序到網絡）部署最有效的安全工具。

安全漏洞的風險很高。破壞性訴訟和客戶信心的削弱可以使企業(yè)自身陷入困境。采用開源的最有效和無風險的方法是與像我們這樣經驗豐富的合作伙伴合作。有了我們，您不僅可以利用我們豐富的經驗，不僅可以使用最相關的開源工具開發(fā)尖端解決方案，還可以采取最有效的措施來確保一流的安全性。更多的網站開源信息，您可以聯(lián)系北京網站建設公司提供專業(yè)性的服務。