企业是否应信任第三方代码?

日期: 2016-12-26 作者:赵长林 来源:TechTarget中国

软件日益成为企业从事各种业务的核心。而敏捷性成为保持竞争力的关键要素,所以企业正寻求伙伴帮助自己获得所需软件,以保持不败地位。注意,这里说的是“获得”而非“构建”或“编制”,因为来自伙伴的帮助可以来自软件组件的形式,或者是完全开发好的应用代码。

合作伙伴可以带来软件,也可以招致风险。合作伙伴提供软件中的漏洞会成为企业的漏洞。这并不是一个新现象,企业开始以各种原因在各种市场中求助于供应链合伙人,并且很快认识到自己正在从其合伙联盟中继承风险。开源组件越来越多的使用促进了软件供应链的发展,并且促使企业相信自己的合作伙伴。

那么,这些软件漏洞的源头是什么呢?当然,我们绝对不能归咎于恶意行为(虽然我们可以有足够的理由来解释),却不能排除恶意的想法。在涉及评估企业合作伙伴的优势、弱点以及潜在风险时,通过分析软件漏洞,我们认为这并非“无的放矢”。

毋庸置疑,有相当部分的软件漏洞是由于架构和设计中的缺陷造成的。因而,如果企业的合作伙伴不能承诺将安全性构建到其架构和设计中,那么,企业将会继承这些易被利用的基本漏洞。只有最成熟的合作伙伴才会信奉安全设计的观念,并且实施充分的威胁建模。

企业的团队是否在编写无漏洞的代码?是否已经清除了“开放式Web应用程序安全项目(OWASP)”中的那些重大漏洞呢?为什么要假设自己的合作伙伴已经在一定程度上实现了无漏洞的编码呢?毕竟,合作伙伴要与潜在的供应商进行竞争,并且与贵企业一样面临着同样的压力。谁还有时间关注安全?可以说,你只能继承那些不能编制安全代码的合作伙伴交给你的漏洞。

企业的合作伙伴可能将恶意逻辑和结构编写到代码中,从而允许其访问应用。这些内部人员威胁的恶意逻辑和结构往往能够逃避由标准的安全测试工具所实施的检测,因为这些工具并不包含漏洞标识工具。这些恶意逻辑和结构可以成为恶意访问、时间炸弹、特洛伊木马的后门。无论如何,这种合作伙伴已经故意地编写了可以被利用的代码。

内部人员风险代表着真正的风险,因为传统的静态和动态应用安全测试就存在于多数软件安全机制的内部,所以就无法找到这些漏洞。经验丰富的安全专家可以通过源代码的分析找到恶意的程序构造,但是,来此企业合作伙伴的代码主要表现为二进制形式,因而无法访问源代码。能够检测二进制代码中的内部人员威胁构造的工具是很有限的,而且这种工具并没有广泛部署。所以,虽然开源组件分析受到广泛关注,但内部人员威胁却会造成最大的危害。

那么解决方法是什么呢?最佳起点是建立必要的策略和过程,确保企业采取措施减少由软件供应链带来的漏洞。企业要创建关于开源的使用策略和第三方应用的测试策略,并且创建指南,为来自软件供应链的软件进入产生环境制定门槛。

我们无法评估自己不了解的东西,所以应关注企业正在使用的开源软件或第三方软件。例如,有些软件组成分析工具可以确定和统计开源的使用。这些工具可以实施企业策略并提供许可协议数据,还可以确认包含已知漏洞的开源组件。

对于由企业的合作伙伴开发的软件,企业应考虑能够确认内部人员威胁的可用工具。不妨询问合作伙伴的编码方法并深入分析其安全策略。一个可信赖的合作伙伴应非常愿意向企业提供可以解决问题的信息。虽然要相信软件的安全性,但验证也同样重要。

如今,无论是联盟还是合作伙伴,都是重要资源。为保持竞争优势,企业都在不断地交朋友和扩大合作伙伴关系。就如同任何商业关系一样,企业在使用来自联盟或合作伙伴的软件或开源组件时,要注意其潜在风险。

企业的软件安全问题取决于其联盟或合作伙伴。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

赵长林
赵长林

TechTarget中国特邀作者

相关推荐

  • “软件移植”如何修复受损代码?

    何谓软件移植?它们如何修复受损代码?它会在企业软件生命周期中占据一席之地吗?此外,它们是否会导致更多的软件漏洞和安全漏洞?

  • 软件漏洞到底该不该被披露?

    现在有关漏洞披露的辩论非常激烈:一方面企业有权利知道自己正处于危险之中,但另一方面,供应商需要时间来修复漏洞。那么,哪一方面更重要呢?

  • 如何最大化自动补丁管理工具的作用?

    对于很多企业而言,补丁管理是数字资产管理中经常被忽视的方面,这相当于埋了颗定时炸弹。而自动补丁管理可确保已安装的软件包含应用或操作系统供应商提供的最新特性和功能。

  • 你的企业是否有自动补丁管理工具的潜在需求?

    软件修复是经过检验而可靠的活动,它可帮助保护IT基础设施和最终用户计算机免受潜在的安全威胁影响,还可以支持持续安装的软件漏洞补丁以及功能增强。