开源组件已经成为了现代软件开发的重要支柱,绝大多数的软件程序不再是由程序员重新编写,而是由许多的开源组件二次开发组合而成。开源组件也成为开发安全中的重要因素,一旦某个组件的漏洞被黑客利用而发起攻击,那么整个开发项目的安全都岌岌可危。
对开发者而言,单纯依靠堵塞漏洞已无法全面保证开源组件的安全使用,而要将组件使用的全过程都纳入安全管理中,换言之,要在组件的选型引入、使用范围、修复处置等关键环节都嵌入安全管理,才能提高开源组件的安全性。
工欲善其事,必先利其器。考虑到实际开发中的成本投入,笔者建议使用SCA工具来帮助开发者更便捷、更高效地管控组件安全。下面以信易盾SCA产品为例,详解如何保证开源组件安全。
1.组件选型:全量对比,确定可用版本
SCA产品中收录了组件的所有版本、对应的活跃度、指标评分等信息,开发者可全量比对各个版本,评估各版本之间的安全性,并最终确定可用的组件版本,从源头把控风险。
各版本活跃度展示
各版本综合指数对比
2.使用管控:黑白名单,锁定特殊组件
在使用过程中,如果某个组件风险过高,不宜再使用,可以通过SCA将其定义为黑名单组件,禁止使用;反之,如果一个组件确认可以安全使用,也可以将其纳入白名单。在之后的开发过程中,可以根据黑白名单的检测提示直接确定是否使用此组件,节省了反复检测分析的时间,提高了安全管理的效能。
使用黑白名单规定使用范围
3.修复处置:自定义标识,契合开发需求
在实际的开发过程中,如果要对每个检测出来的漏洞进行堵塞修复,无疑会耗费开发人员大量的精力,拖累开发计划。利用SCA可以为漏洞设置处置标识,区分修复优先级,帮助开发人员高效修复风险,加强协作管理。
高危漏洞 紧急修复
低危漏洞 可稍后处理
总结起来,保证开源组件的安全可控性需要在多个方面进行努力。通过利用SCA工具,结合以上步骤,开发者能够更好地防范潜在的威胁和风险,保障开源组件的安全性可靠性,提高开发程序的可用性。
注:以上截图来自于信易盾SCA工具
1947
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
