Apache Web 服務(wù)器的主要開發(fā)人員布萊恩·貝倫多夫(Brian Behlendorf)近日發(fā)布文章,呼吁多個開源基金會緊密合作,防止 Log4Shell 此類問題再次發(fā)生。文章中提及了目前開源領(lǐng)域安全工作資源不足,在制定標(biāo)準(zhǔn)和要求以減少重大漏洞的機(jī)會方面受到束縛,并提出了幾個建議來減輕安全風(fēng)險。
圖片來自于 Flickr
為防止 Log4Shell 此類問題再次發(fā)生,Brian Behlendorf 倡議開源軟件基金會們可以做以下幾件事,以減輕安全風(fēng)險:
● 建立一個組織范圍內(nèi)的安全團(tuán)隊(duì),接收和分流漏洞報告,以及協(xié)調(diào)對其他受影響項(xiàng)目和組織的回應(yīng)和披露。
● 通過CI工具執(zhí)行頻繁的安全掃描,以檢測軟件中的未知漏洞并識別依賴關(guān)系中的已知漏洞。
● 對關(guān)鍵代碼進(jìn)行不定期的外部安全審計(jì),特別是在新的重大發(fā)布之前。
● 要求項(xiàng)目使用測試框架,并確保較高的代碼覆蓋率,這樣就可以阻止沒有測試的功能,并主動淘汰未被使用的功能。
● 要求項(xiàng)目刪除已廢棄或易受影響的依賴關(guān)系。(一些Apache項(xiàng)目沒有受到Log4j v2 CVE的影響,因?yàn)樗麄內(nèi)栽谑褂肔og4j v1,該版本有已知的弱點(diǎn),并且自2015年以來沒有得到更新!)
● 鼓勵并最終要求使用SBOM格式,如SPDX,以幫助每個人更容易和快速地跟蹤依賴關(guān)系,從而使漏洞更容易被發(fā)現(xiàn)和修復(fù)。
● 鼓勵并最終要求維護(hù)者展示對安全軟件開發(fā)實(shí)踐基礎(chǔ)知識的熟悉程度。
其中的許多內(nèi)容都被納入了CII最佳實(shí)踐徽章中,這是將這些內(nèi)容編入客觀可比的指標(biāo)的首次嘗試之一,這項(xiàng)工作現(xiàn)在已經(jīng)轉(zhuǎn)移到OpenSSF。OpenSSF還為開發(fā)者發(fā)布了一個關(guān)于如何開發(fā)安全軟件的免費(fèi)課程,而SPDX最近也被公布為ISO標(biāo)準(zhǔn)。
【來源:希恩貝塔】
