| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛
欢迎加入我们,一同切磋技术
用户名:   
 
密 码:  
共有 1522 人关注过本帖
标题:360安全浏览器竟然也被查出高危漏洞?开源安全问题不容忽视
只看楼主 加入收藏
价茗
Rank: 1
等 级:新手上路
帖 子:1
专家分:0
注 册:2017-7-26
收藏
 问题点数:0 回复次数:0 
360安全浏览器竟然也被查出高危漏洞?开源安全问题不容忽视
分析报告http://hn.

随着开源社区的蓬勃发展,现在很难找到一款完全不包含任何开源组件的程序。而开源组件的安全性问题却没有得到足够重视,甚至有人认为开源软件都是安全的,其实不然。

开源安全的特点:
1.    由于源代码公开,所有发现的漏洞都会被第一时间公布,因此也容易被攻击者利用
2.    开源组件的作者通常都会在发现问题后立刻修复并发布新版本,而软件的最终用户往往得不到最及时的更新。
3.    在软件开发和验收过程中,人们往往无法准确判断软件里包含哪些开源组件,是否存在严重安全隐患。

中国开源安全联盟(www.)部分的解决了这些开源漏洞的定位问题。 联盟在其官网上提供免费二进制可执行文件扫描服务。可以对exe, jar, apk, ipk, iso, bin, dll, dmg, pkg等多种二进制文件进行扫描,不仅能定位开源漏洞并提供CVE编号和修补方案,还能分析出所使用的开源组件清单,据说使用的是国际上律师事务所和知识产权海关同样的分析技术。

在2006年的LinuxWorld大会上,Linux内核维护人考克斯强调,有相当数量的资金被用来攻击开放源代码系统。他警告说,许多开放源代码项目远谈不上安全,许多资金都被用来破坏开放源代码系统的安全。媒体上经常有这样的字眼:开放源代码软件更安全、更可靠,缺陷也更少。这是一种危险的观点。

CVE 是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。在风险评估中最重要也是最困难的两个环节就是风险的量化,以及找到风险项后如何寻找控制措施。CVE给了我们非常好的指导去进行风险评估中的技术评估。用户完全可以参考CVE字典和相应的数据库建立自己企业的风险评估指标体系,而且所有的这些风险项都可以通过CVE索引迅速地找到相应的修补控制措施。
搜索更多相关主题的帖子: 安全 漏洞 开源 组件 源代码 
2017-07-26 14:41
快速回复:360安全浏览器竟然也被查出高危漏洞?开源安全问题不容忽视
数据加载中...
 
   



关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.052626 second(s), 9 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved