腾讯云学生怎么做网站的,有哪些公众号是小黄油的,30几岁的人想学做网站,网站服务器和空间的区别01已知漏洞
已知漏洞通常是由软件开发人员和维护人员在无意中引入的#xff0c;然后再由社区中的安全研究人员公开披露。组织可以采取行动来降低“具有已知漏洞的OSS组件”的风险#xff0c;例如扫描他们所有OSS组件中的漏洞#xff0c;根据已知利用率、利用概率、可达性分…01已知漏洞
已知漏洞通常是由软件开发人员和维护人员在无意中引入的然后再由社区中的安全研究人员公开披露。组织可以采取行动来降低“具有已知漏洞的OSS组件”的风险例如扫描他们所有OSS组件中的漏洞根据已知利用率、利用概率、可达性分析等方法对发现结果进行优先排序。
02合法包妥协
恶意行为者发现从合法包上下手可以影响到下游消费者的价值其无论是对组织还是对个人都能造成极大的影响。恶意行为者可以使用多种方法来完成此类攻击例如劫持项目维护人员的帐户或利用存储库中的漏洞。当然恶意行为者也可以自愿变成维护者一如XZ Utils事件中所发生的情况即有人在很长一段时间内冒充合法贡献者然后在不被他人怀疑的情况下这些不法者从代码中嵌入了后门。那该如何预防呢我们可以使用新兴的资源和指导比如使用微软的安全供应链消费框架S2C2F等。
03名称混淆攻击
攻击者会创建名称和合法OSS包一样的恶意组件而这些组件会在无意中被受害者下载。此类攻击也出现在了CNCF软件供应链攻击目录中包括打字错误和品牌劫持。当这些“做过手脚”的软件包被带到组织的IT环境中它们可能会影响系统和数据的机密性、完整性和可用性CIA。
04不可维护的软件
与专有软件不同开放源码软件通常没有“供应商”因此OSS维护人员按原样提供软件这意味着不能保证软件会得到维护、更新或持续使用。Synopsys的OSS报告等报告表明85%代码库中的OSS组件已经过时四年多而且两年内没有任何新的迭代。而根据年度NVD指标考虑到软件老化迅速新的漏洞正在不断冒出这对使用“不常更新OSS组件的现代应用程序”来说不是好兆头。OSS主要由无偿志愿者所提供因此软件组件可能没有被积极开发或维护以至于缺陷修复等环节是相对缺失的。此外造成OSS无法维护的另一个关键因素是几乎25%的OSS项目只有一个开发者贡献代码94%的项目由10个或更少的开发者在维护。显然如果一个项目只有一个维护人员风险是显而易见的。考虑到60-80%的现代代码库是由OSS组成的因此可以说我们最关键的系统都是在维护程度最低的软件上运行这意味着我们随时可能面临重大的系统风险。应对该风险的建议包括检查项目的活跃性和健康状况如维护者和贡献者的数量、发布频率以及补救MTTR漏洞的时间等。
