Apache聯合創始人呼籲合作防止Log4Shell問題再次發生

Apache Web 服務器的主要開發人員布萊恩·貝倫多夫(Brian Behlendorf)近日發布文章,呼籲多個開源基金會緊密合作,防止 Log4Shell 此類問題再次發生文章中提及了目前開源領域安全工作資源不足,在制定標準和要求以減少重大漏洞的機會方面受到束縛,並提出了幾個建議來減輕安全風險。

x5o7enpn.webp

圖片來自於 Flickr

為防止 Log4Shell 此類問題再次發生,Brian Behlendorf 倡議開源軟件基金會們可以做以下幾件事,以減輕安全風險:

● 建立一個組織範圍內的安全團隊,接收和分流漏洞報告,以及協調對其他受影響項目和組織的回應和披露。

● 通過CI工具執行頻繁的安全掃描,以檢測軟件中的未知漏洞並識別依賴關係中的已知漏洞。

● 對關鍵代碼進行不定期的外部安全審計,特別是在新的重大發布之前。

● 要求項目使用測試框架,並確保較高的代碼覆蓋率,這樣就可以阻止沒有測試的功能,並主動淘汰未被使用的功能。

● 要求項目刪除已廢棄或易受影響的依賴關係。(一些Apache項目沒有受到Log4j v2 CVE的影響,因為他們仍在使用Log4j v1,該版本有已知的弱點,並且自2015年以來沒有得到更新!)

● 鼓勵並最終要求使用SBOM格式,如SPDX,以幫助每個人更容易和快速地跟蹤依賴關係,從而使漏洞更容易被發現和修復。

● 鼓勵並最終要求維護者展示對安全軟件開發實踐基礎知識的熟悉程度。

其中的許多內容都被納入了CII最佳實踐徽章中,這是將這些內容編入客觀可比的指標的首次嘗試之一,這項工作現在已經轉移到OpenSSF。OpenSSF還為開發者發布了一個關於如何開發安全軟件的免費課程,而SPDX最近也被公布為ISO標準。

(0)
上一篇 2021-12-28 17:14
下一篇 2021-12-28 17:14

相关推荐