开源组件是什么意思_供应链安全:安全建设中的第三方组件依赖问题

最新推荐文章于 2024-05-20 13:57:50 发布
最新推荐文章于 2024-05-20 13:57:50 发布
阅读量2.2k 收藏 2
点赞数
文章标签: 开源组件是什么意思
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39604897/article/details/111362996
版权

着力点:接入、发现、防护、管理

下图是笔者总结的第三方组件流通图,可以看到组件的分发过程很零散:

e0f73b4d9a3f67d50ab05e4693cbde09.png

接入

读者们可否有信息回答这个问题:"作为安全负责人,你知道公司使用和开发的应用中使用的开源组件都是最新的,已经安装了所有的重要安全补丁?"答案一定是窘迫的,如果连自己公司正在使用哪些软件,用什么开发的系统都不知道,何谈为其安装安全补丁呢?原因在于许多企业所用的开源组件并没有保存准确、全面、更新的资产清单,所以要做好组件安全,首先要有清晰的组件列表,并实时后台自动维护。不仅仅关注外部引入的代码,也要区分商业组件、开源组件和内部组件的版本和漏洞。

发现

漏洞

开源组件的漏洞和风险主要是通过邮件列表,github issues,nvd漏洞库进行的标注,所以最重要的工作总是发现项目中的依赖->找到对应的cve漏洞,值得一提的NVD 不仅在优先级分配上难免受到主观因素的影响,而且 CVE 中的数据报告、评分和可操作性都有可能存在严重滞后、缺失问题。

软件许可协议

除了安全问题外,license问题也需要关注。远有思科供应链的的教训,FSF状告Cisco以 Linksys品牌出售的各种产品违反了FSF拥有版权的程序许可条款,包括 GCC、GNU Binutils和 GNU C库,最终以思科任命一名董事以确保Linksys产品符合自由软件许可,以及思科向FSF进行未公开的财务捐助作为收场。详情参看https://www.fsf.org/licensing/2008-12-cisco-complaint。

最低0.47元/天 解锁文章
weixin_39604897
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
开源组件什么意思_一文读懂常用开源许可证
weixin_39928787的博客
12-08 7501
社区时常为流行产品有争议的开源许可证而感到震惊,这引起各方关注,纷纷争论何为真正的开源许可证。去年,Apache 基金会(Apache Foundation)禁止使用 Facebook React 那些具有争议的专利组件,这引发了轩然大波,并让大量人员纷纷跑去加入 Reddit boards。在过去的几个月, Redis Labs 和 MongoDB 修改了他们备受欢迎的开源数据库的...
开源组件| 开源组件调研
YvesHe的专栏
12-03 770
Apache Tomcat(web间件) Apache Httpd(web间件) Weblgoic(web间件) Jetty(web间件) Kafka(消息间件) RocketMq(消息间件) RabbitMq(消息间件) ActiveMq(消息间件) Redis(缓存间件) Memcache(缓存间件) Mongo(非关系型数据库) Mysql(关系型数据库) Oracle(关系型数据库) SQL Server(关系型数据库) DB2(关系型数据库) gl
开源组件安全风险及应对
最新发布
Button12138的博客
05-20 1060
在软件开发的过程,为了提升开发效率、软件质量和稳定性,并降低开发成本,使用开源组件是开发人员的不二选择(实际上,所有软件开发技术的演进都是为了能够更短时间、更低成本地构建软件)。这里的开源组件指的是以开源许可证发布的软件组件、库、框架和工具等,组件的源代码是公开的,而根据不同的许可协议,版权所有者可以授予用户使用、研究、更改和分发软件及其源代码的权力。软件开发人员可以根据所开发程序的不同,选择提供各种功能的开源组件
开源组件什么意思_2020软件供应链开源带来的下一代软件供应链,面临新的攻击...
weixin_39860583的博客
11-28 527
恶意网络攻击者对软件供应链的攻击,正向“上游”组件蔓延,再借助开源软件的“信任链”和影响力,导致的结果之一就是破坏性更大。Sonatype 的《2020软件供应链报告》报告提出,下一代软件供应链攻击正在到来,显著特点就是刻意针对“上游”开源组件,进行更主动的攻击。而此类攻击出现的背景正是开源组件和容器的广泛采用。软件供应链及攻击软件供应链一词常出现在科技公司和研究人员的表述,Dell EMC 的...
开源组件什么意思_总说安卓是开源的,开源到底是什么意思
weixin_39612220的博客
12-16 5838
开源,全称为开放源代码,就是用户利用源代码,在遵循开源协议(GNU)进行使用、编译和再发布。虽然大家可以修改,但开源系统同样也有版权,也受到法律保护。用户在使用开源产品时,不但需表明产品来自开源软件和注明源代码编写者姓名,而且还应把所修改产品返回给开源软件,否则所修改产品就可视为侵权。简单的来说,比如谷歌开发了安卓系统最基础的框架了,华为等手机厂家可以利用其源代码开发修改升级匹配自身的系统,但是因...
开源DEMO】我也不知道这是个什么组件
tanpenggood
04-25 395
可能是我的第一个开源demo吧!
开源组件介绍
zhaomeng1123的专栏
09-21 1726
1集群为什么选择cloudera manager 之前使用apache hadoop版本安装部署集群,需要自己控制各个组件版本,以及添加节点和服务要花很多时间,所以使用cloudera来进行安装和管理,以及后期方便维护与升级。目前我厂集群正式环境使用的是这种方式 2组件介绍 cloudera公司在apache hadoop发行版基础上,bug fixs和加入额外的一些组件,整体测试打包发行的
software_supply_chain_papers:该存储库包含有关软件供应链的论文列表
04-01
在开发过程,开发者可能会依赖各种开源组件第三方服务,这些外部元素可能潜藏安全隐患,如零日漏洞、恶意代码或不安全的配置。一篇名为“供应链攻击:威胁与防御”的论文详细分析了这些威胁,并提出了相应的预防...
开源组件安全面对安全左移带来的挑战研究.docx
02-23
组件分析,SCA)是一种用于识别和管理软件项目使用的第三方组件的技术,它可以帮助开发者了解他们的应用程序包含哪些开源组件,以及这些组件可能存在的安全风险。随着“安全左移”理念的提出,即把安全检查和...
软件供应链安全综述_何熙巽1
08-03
软件供应链安全涉及到从软件开发到部署的整个过程,包括开源组件第三方库、外包服务等各个层面,这些环节的安全性直接影响到最终产品的质量和用户数据的安全。 文章首先阐述了软件供应链安全的概念及其发展历程。...
信息安全_数据安全_D1T2 - Some Experiments with Cod.pdf
08-21
由于软件供应链的复杂性,依赖于自由许可证的第三方软件组件被广泛使用。这种模式虽然促进了创新,但也使得安全风险增加。例如,一个第三方库可能包含另一个库的代码,而跟踪所有依赖项并非易事。这导致了第三方库...
vendor_xiaomi_surya:POCO X3 SURYA的供应商Blob
02-16
标题的"vendor_xiaomi_surya:POCO X3 SURYA的供应商Blob"涉及到的是Android设备的一个特定组件,即“供应商Blob”。在Android系统,“Blob”通常指的是二进制大对象(Binary Large Object),它包含了设备...
开源产品基础组件
Spground
06-25 325
计算 Flink Spark Hadoop Storm 存储 HDFS HBase Cassandra Ceph 消息队列 RocketMQ Swift 虚拟化 OpenStack 数据库 MySQL 缓存 Redis 日志 Flume 搜索引擎 Lucence ElasticSearch Solar 框架 Spring ...
开源组件
weixin_33743248的博客
01-15 1262
做了一个酷炫的下拉刷新的控件 在UI Movement上看到一个好看的下拉刷新的控件效果,想着把他实现了. 原地址在UI Movement 下面是我做出来的效果 老样子,首先进行效果分析 这是一个下拉刷新控件 下拉的过程从顶部出现很多圆形小点,小点的半径和亮度(透明度)会发生变化,这个变化是和下拉程… 【Android百大框架排行...
Uncode系列开源组件简介
uncodecn的博客
07-07 2031
Uncode 是基于Java 语言的一系列企业级开源组件,作者冶卫军 (开源作者花费大量时间维护开源项目,期望正确使用)。主要包括:移动后端开发框架Uncode-BaaS ,通用数据库访问组件Uncode-DAL和分布式任务调度组件Uncode-Schedule,集群session共享组件Uncode-Session ,两级缓存组件Uncode-Cache,轻量级信消间件Uncode-MQ。其核心设计目标是使小企业开发更加简单、易于维护,同时组件大部分基础操作进行了封装,提供认证、安全控制等基础功能模
第三方组件
com185272358的专栏
04-27 3408
第三方组件是针对某种软件在应用功能上的不足或缺陷,而由软件编制方以外的其他组织或个人开发的相关组件。这种组件不是Java官方提供的,也不是由软件使用者编写的组件。使用成熟的第三方组件进行开发会提高开发的效率,减少出错的可能。 Apache公司(http://commons.apache.org)针对Java提供了很多的功能强大的组件,除了Apache公司以外,还会有很多的公司、组织和个人会提供一
OSCS开源软件供应链安全社区上线,携手开源社区共同提升开源安全质量
OSCS开源安全社区
05-23 890
现如今,开发者们使用开源代码来构建软件几乎不可避免。但所有这些外部引入的依赖都可能带来额外的软件安全风险。 调研报告显示,84% 代码库至少存在一个开源组件安全漏洞,其平均每个代码库存在 158 个开源组件漏洞,65% 的代码库存在许可冲突,发现的漏洞平均是已存在 2.2 年。开源软件存在如此多的安全漏洞,这对于应用开源软件的企业和个人来讲,都是巨大的安全隐患。 事实上,大家也都在努力保护他们的开源软件供应链安全,但是,又面临一个问题,他们甚至都不知道他们的软件使用了哪些开源组件,其又包含了哪些代码
开原框架组件
l18320786461的博客
04-13 249
1、什么是组件化,为什么需要组件化 2、集成环境/组件化环境自动部署 3、组件化 子模块交互方式(非ARouter版) 4、组件化 子模块交互方式(ARouter版) 早期的单一分层: 问题1:无论分包怎么做,随着项目增大,项目失去层次感,后面的人接受很难 问题2:包名约束太弱,稍有不注意,就会不同业务包直接相互调用,代码耦合度高 问题3:多人开发在版本管理,容出现代码覆盖冲突等问题 1、什么是组件化,为什么需要组件组件化的意义:不相互一来,可以互相交互,任意组合,耦合度高,自由
常用的开源组件
weixin_30402085的博客
09-23 2613
1、ZedGraph统计图组件 主页下载 2、Office文档读写组件NPOI NPOI,顾名思义,就是POI的.NET版本。那POI又是什么呢?POI是一套用Java写成的库,能够帮助开发者在没有安装微软Office的情况下读写Office 97-2003的文件,支持的文件格式包括xls, doc, ppt等。目前POI的稳定版本仅支持Excel文件格式xls,其他的都属于不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值