这本由供应商撰写的技术入门书是由Network World编辑的,目的是消除产品推广,但读者应该注意,有个足球雷竞技app它可能更倾向于提交者的方式。
如果你这周争先恐后的发现后,安装补丁鬼的弱点影响Linux系统,你并不孤单。我们一直沿着这条道路之前其实不作任何少折腾。这是不是很久以前,这一消息爆料弹震。没多久之前,心脏出血漏洞。
由于出现严重的软件安全威胁而处于反应模式似乎是一种新常态——但你不必接受这种情况。你可以做的不仅仅是反应。如果您的组织可以使软件安全先发制人,防止许多漏洞之前有什么损失吗?
通过关注我所称的“开源卫生”,您就可以做到这一点——稍后将对此进行更多介绍。但首先,让我们看看为什么GHOST让软件安全专家如此紧张。
Linux机器中的幽灵
Linux GNU C库(glibc 2.2)中的幽灵漏洞是一个漏洞。版本2.2是一系列标准Linux发行版的原生版本,特别是在Debian Wheezy上构建的版本,但也包括红帽平台版本。该系统包括各种各样的嵌入式系统以及服务器和桌面。
受影响的API“的gethostbyname(),”是POSIX标准,这是UNIX类型的系统,包括Linux的定义的一个组成部分。这个API是Linux的核心功能的一部分。glibc库是使用所有类型的Linux上运行的程序与内核进行交互,并执行核输入/输出操作的首要库。换句话说,一切通过glibc的运行 - 这就像大中央车站。
也许最令人担忧的是,该漏洞可以通过处理电子邮件等良性操作远程触发。与bash(它是Shellshock威胁的核心)不同,glibc是一个精心策划的库。所以GHOST的问题不在于没有足够的人关注代码。事实上,它一直在被更新和测试。更确切地说,问题在于,并非所有这些眼睛都具备足够的安全意识。
负责开源安全
即使很多人都在关注代码,像GHOST及其前身这样的软件漏洞也是不可避免的。IT组织被拉得很紧,试图用更少的东西做更多的事情,并且比以往更快地交付创新的应用程序。选择开源组件作为开发过程的一部分可以帮助他们实现这些目标。此外,参与和贡献开源社区是具有前瞻性的IT组织创新的关键部分。
那么,软件开发组织如何在开源软件安全问题与以更快的速度不断创新之间取得平衡呢?
答案就在于开源卫生。通过对整个开发过程中,并在整个供应链管理的开放源代码实现自动化解决方案,组织远赴安全威胁获得关键优势。这意味着代码自动审查针对漏洞数据库如OSVDB和NVDB,确保只有最先进的最新版本的那些组件的被选择。
在GHOST的情况下,这种做法会产生几种结果之一:
更早发布glibc版本2.2或更早版本,呼吁将开发和部署版本升级到版本2.3。
-当前基于OSVDB/NVDB公告标记库,以检查已弃用的版本,并确认版本2.3已应用正确的补丁。
换句话说,您不必浪费时间在代码库中搜索开源组件—您将确切知道它们在哪里以及如何使用它们。这为您提供了快速补救的可行路线图。
有了开放源码卫生,您的组织就可以对正在进行的安全威胁进行排序和处理,因为不安全的开放源代码会在开发过程的开始而不是在过程已经开始时突出显示,并标识纠正路径。
当今最聪明的软件开发组织正在将开源卫生集成到他们的软件开发生命周期中,因此安全性不再是关于补救,而是关于先发制人和积极主动。使用这种方法,软件生命周期变得更加易于管理。