精华内容
下载资源
问答
  • 安全风险分级管控是安全管理工作的有力抓手,从煤矿安全管理实际出发,确定分步骤建设安全风险分级管控体系,建立初步的风险管控体系从树立安全风险意识、落实管理层管控责任入手,以防范遏制重大事故为目标,分阶段推进...
  • 详细介绍信息安全风险评估概述、信息安全风险管理与风险评估标准、信息安全风险评估的基本流程、信息安全风险评估技术、信息安全风险分析理论和方法、信息安全风险评估工具、信息安全风险评估实例等
  • 信息安全风险评估.pdf

    2020-12-27 21:24:56
    网络安全风险评估
  • 信息安全技术 GBT 20984-2007信息安全风险评估规范 信息安全服务者必备,国家标准各行业通用
  • 信息安全风险评估表

    2018-12-12 17:16:13
    信息安全风险评估表
  • 信息安全风险管理.pdf

    2019-09-28 14:24:15
    CISP信息安全风险管理,介绍了信息安全风险管理基本理念
  • 信息系统安全技术--网络安全风险分析,信息系统安全技术 --网络安全风险分析 何长龙 高级工程师 目录风险综述 安全风险管理 安全风险分析模型 安全风险控制点详细分析 风险综述在系统工程过...|下载前务必先预览,...
  • 实验环境下载地址在购买后单独发送 可以随时与讲师交流互动 通过讲解SQL Server、MySQL、Oracle、Redis的安全问题...第三章Redis:详细讲解Redis的优缺点、安全风险、安全加固,通过实操Redis漏洞获取系统管理员权限。
  • API安全风险与防范

    2020-08-05 16:16:32
    文章目录API安全风险与防范前言API安全风险与防范未授权访问越权问题数据窃听DDoS攻击资源耗尽攻击重放攻击(Replay Attack)注入攻击篡改数据代码泄漏数据泄漏API URL泄漏服务端被黑攻击者的常用手段API安全小结...

    API安全风险与防范

    前言

    本文就API安全面临的常见风险和如何防范,浅谈了一下个人见解,供API设计和开发时参考。

    API安全风险与防范

    未授权访问

    风险:攻击者知道API地址和传入参数后,访问未授权的数据或操作。

    防范:

    1. 前端调用后端的接口,必须由后端作二次校验,不能只相信前端页面控制;
    2. 系统对系统的接口,需要用身份认证机制(比如,appId和appSecret机制、token机制)

    参见:

    越权问题

    风险:攻击者试图访问权限范围外(水平越权或垂直越权)的数据或操作。

    防范:

    1. 不信任接口调用传入参数,必须由后端对访问作严格的权限控制,不要偷懒;
    2. 前端调用后端的接口,必须由后端作二次校验,不能只相信前端页面控制;
    3. 不相信前端传进来的和权限有关的参数(或者不要让前端传进来和权限有关的参数),而是后端自动获取当前登录用户的权限相关的信息;
    4. 后端不能只判断用户是否登录,而是还要判断当前用户是否有权限;
    5. 特别小心传入id来查询或操作的场景,一定要校验当前用户是否有该id的权限;

    参见:

    数据窃听

    风险:在调用API的传输过程中,数据可能会被窃听,比如恶意WIFI、DNS劫持、网络设备被黑等。

    防范:

    1. 尽量在安全的网络中传输,比如内网、专线等;
    2. 采用HTTPS协议对传输过程加密;
    3. 对传输的数据进行加密。

    DDoS攻击

    风险:攻击者控制一群肉鸡,发起DDoS攻击(分布式拒绝服务攻击),导致接口被网络请求堵塞,无法正常服务。

    防范:

    1. 采用WAF和防火墙;
    2. 采用流量清洗和黑洞技术;
    3. 设置IP白名单;
    4. 对接口调用频率和调用次数进行限制。

    资源耗尽攻击

    风险:攻击者利用接口漏洞来耗尽服务端资源。

    防范:

    1. 限制上传文件类型和文件大小;
    2. 限制分页查询时每页的最大记录数;
    3. 限制接口调用频率和调用次数;
    4. 限制其它可能耗尽服务端资源的行为。

    重放攻击(Replay Attack)

    风险:攻击者获取一段报文后,重复多次请求接口。

    防范:

    1. 在请求报文中加入随机数(nonce)和签名,如果随机数重复则服务端认为是无效请求;(该方法的不足是需要维护一张随机数的全表记录,如果用Redis来存储可能会占用较大内存)
    2. 在请求报文中加入时间戳(timestamp)和签名,如果请求报文的时间戳与服务端的时间差较大(比如1分钟),则认为是无效请求;(该方法的不足是在允许的时间差内,仍然有被重放攻击的风险)
    3. 结合nonce和timestamp机制(只在允许的时间差内维护随机数的全表记录,比如在Redis中随机数全表记录有效期只保留1分钟,这样就可以节约内存);
    4. 一次性token机制,token使用一次后就失效。

    参见:

    注入攻击

    风险:攻击者传入一些畸形数据,让接口执行一些意想不到的操作。

    防范:

    1. 程序和数据分离,不允许调用者来控制如何执行程序;
    2. 使用预编译SQL,而不是动态拼接SQL;
    3. 在接口入参对象中只放必要的属性,且操作时只修改必要的属性。(防止利用JSON字符串和Object自动绑定特性,来传入多余的JSON属性,来更新整个对象)。

    篡改数据

    风险:攻击者获得一段报文后,篡改报文中的内容,再请求接口。

    防范:

    1. 采用API签名(sign)方式来防止数据被篡改;
    2. 客户端对请求报文进行签名,服务端验签通过后,才响应请求;
    3. 服务端对响应报文进行签名,客户端验签通过后,才相信响应报文;
    4. 常用的签名算法包括SHA256或MD5,推荐使用SHA256(哈希算法,签名不可逆计算出原始值);
    5. 签名时需要同时考虑防止签名被预测和重放攻击,需要将nonce和timestamp一起签名,保证每次签名(sign)值都不同;

    参见:

    代码泄漏

    风险:代码或程序中含有敏感信息,当代码或程序泄漏后,敏感信息也被泄漏。

    防范:

    1. 不要在前端代码中存放secret等敏感信息,即使已经加密过的secret;
    2. 正确配置.gitignore,不要将一些不应该提交的代码或配置文件放到了Web服务器上,特别是前端代码;
    3. 代码中含有一些测试用的管理用的“秘密”API URL;
    4. 代码中含有一些过时且保护不当的API URL;
    5. 防止泄漏代码到互联网上,比如GitHub;
    6. 在后端服务器上,在受控的服务配置中心来配置敏感信息;

    数据泄漏

    风险:接口返回了过多的数据,包括敏感数据。

    防范:

    1. 只返回必要的数据给前端,不要依赖前端来隐藏数据;
    2. 由后端来对敏感数据进行脱敏,不要依赖于前端进行脱敏。

    API URL泄漏

    风险:使用HTTP GET调用API时,API URL上带有参数,因为API URL是明文传输的,因此网络中的网络节点都可能窃取这些参数数据。

    防范:

    1. 不要在API URL中放敏感信息;
    2. 尽量使用HTTP POST,来在HTTP Request body中传输参数,再采用HTTPS协议对传输过程加密;

    服务端被黑

    风险:虽然大多数攻击都发生在客户端向服务端的调用过程,但是如果服务端被黑,也会导致客户端面临风险。

    防范:

    1. 做好服务端安全防范工作,最小权限原则,网络隔离,开放最少端口,设置安全组,漏洞扫描,入侵检测,告警等;
    2. 客户端对服务端的返回数据也要验签,防止响应数据被篡改(比如攻击者在服务端前安插了一个代理服务器来篡改返回的数据);

    攻击者的常用手段

    攻击者的常用手段:

    1. 网络窃听;
    2. 抓包工具;
    3. Chrome浏览器开发者工具;
    4. 编写Python程序进行来请求接口;
    5. 病毒程序。

    API安全小结

    1. 互不信任原则:接口提供方不信任接口调用方的请求参数,接口调用方不信任接口提供方的返回数据;
    2. 不信任网络原则:假设网络传输过程是不安全的,网络中的每一个节点都是不安全的;
    3. 采用HTTPS协议,保证传输过程安全;
    4. 作最坏的打算,即使数据被窃听,也无法解密;
    5. 设立网络安全边界,采用WAF、防火墙、网络隔离、IP白名单、流量清洗和黑洞技术来防止DDoS攻击;
    6. 使用API网关,在API网关上实现安全机制和限流,简化API实现;
    7. 采用包含了nonce和timestamp的API签名来防止数据被篡改和重放攻击;
    8. 时刻关注水平越权问题;
    9. 注意编码安全,防止代码泄漏和API URL泄漏;

    参考文档

    扩展阅读

    展开全文
  • 针对煤矿工业互联网信息安全防护手段多应用于较小区域、难以对整体信息安全风险进行评估的问题,提出了一种基于静态和动态2个维度的煤矿工业互联网信息安全风险评估方法。该方法根据《信息安全技术 网络安全等级保护...
  • 网络系统安全风险分析报告书,有需要的,可参考。。。
  • 为实现对煤矿安全风险的预先辨识、评估及有效管理,提出了一种煤矿安全风险预控管理信息系统的设计方案;以安太堡露天矿本质安全管理体系中的煤矿安全风险预控管理信息系统为例,详细介绍了风险预控管理流程、系统功能...
  • 本标准是对《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)中各阶段评估工作的细化,适用于从事信息安全风险评估活动的有关组织机构和人员,也可为组织内部进行信息安全风险评估提供指导和参考。
  • 信息安全风险评估

    2015-08-29 17:30:53
    信息安全风险评估,感兴趣的人可以看一下的。
  • 为了减少或避免煤矿灾害事故的发生,降低煤炭生产风险,判断企业的安全程度,通过对煤矿安全风险因素的辨识和分析,从人员、设备、环境、管理以及事故及职业危害情况五个方面构建了煤矿安全风险指标体系,并对指标体系的...
  • 网络安全风险 网络安全应引起各种规模的组织的关注,新的威胁和数据泄露每隔几天都会成为新闻。 但是,正如网络安全解决方案供应商和风险管理咨询公司可以证明的那样,仍有太多公司在实施安全保护措施方面仍然落后。...

    网络安全风险

    网络安全应引起各种规模的组织的关注,新的威胁和数据泄露每隔几天都会成为新闻。 但是,正如网络安全解决方案供应商和风险管理咨询公司可以证明的那样,仍有太多公司在实施安全保护措施方面仍然落后。 部分原因是由于市场上产品和服务的分散性。 但是,即使有解决网络安全挑战的可用选项,企业也可能不知道从哪里开始。

    这么多的选择,那么多的差距

    InConsult的网络风险管理专家Tulin Sevgin谈到了为公司客户寻找全面解决方案的困难。 像大多数风险管理咨询公司一样,InConsult并不想成为一家技术公司。 但是,它几乎不能忽略对网络安全的紧迫需求,这是整个风险管理计划的一部分。 竞相寻找能够最好地为其客户服务的供应商。 Sevgin认真对待此搜索。 “我没有从头开始开发自己的产品,而是去了市场,看看市场上有什么,我们的竞争对手在做什么,以及我可以做些什么来给我们带来优势。”

    她发现该领域中有很多供应商提供高级解决方案,但是大多数供应商都旨在解决同样的少数问题。 例如,“有很多公司进行渗透测试。 但是没有很多事情要做,例如漏洞管理,云扫描,外部API和网站扫描,然后再扫描内部环境以查看您的弱点在哪里。”

    寻找一站式网络安全购物

    她的目标不是要找到三四个专门从事这些不同领域的供应商,而是要把所有东西都放在一个地方。 “经过大量研究,我们发现一家公司做得很好,并与他们合作。” 选定的供应商提供了以下所有领域的安全解决方案:

    • 第三方厂商
    • 面向外部的网站和API
    • 网络与应用
    • 服务器和云
    • 个人身份信息(PII)和敏感业务数据

    那是一个阵容。 当然,并不是每个企业都需要为每种可能的安全类型付费。 但是,与了解全部可用范围以帮助确定正确方向的供应商或咨询公司合作可能会有优势。 这一切都始于准确的评估。

    从哪里开始

    规划涉及确定潜在风险,可能的后果,可用于支撑安全性的预算以及组织的风险承受能力。 例如,负责关键基础设施的公用事业需要高度的网络安全性,而本地企业的需求则要低得多。

    根据Tulin的说法,公司无需走远,甚至无需付出任何费用就可以开始。 免费资源随时可用。 “出于最佳实践的目的,NIST框架值得一看。 这些是很好的准则,而不是您需要从头到尾实施的准则。 您可以选择最适合您组织的方式来解决您的弱点。”

    美国国家标准技术研究院(NIST)拥护众所周知的五要素网络安全方法:

    1. 识别:了解业务环境,与关键功能相关的资源以及潜在方案。
    2. 保护:制定并实施保护措施以确保提供关键服务,从而限制潜在事件的影响。
    3. 检测:通过诸如持续监控和异常检测之类的活动,确保及时识别网络安全事件的能力。
    4. 响应:确定在检测到网络安全事件时会发生什么,包括适当的技术,业务活动和PR响应
    5. 恢复:制定计划以恢复和恢复因网络安全事件而受损的任何功能或服务。

    NIST建议将此评估过程中未发现的安全要求与市场上可用的解决方案进行映射。 有趣的是,该研究所还认识到在一个地方找到它们的普遍困难。 “经过精心确定的网络安全要求清单,目标应该是在多个供应商中做出最佳购买决策。 通常,这意味着要进行某种程度的权衡,将具有已知差距的多个产品或服务与目标配置文件进行比较。”

    转变对网络风险管理的态度

    根据Sevgin的经验,存在一些误解,使企业无法采取适当步骤来建立更安全的网络环境。 尚未受到违反的公司可能会感到无敌。 “他们说,'我们为什么需要它? 我们很好,我们从未受到违反。 他们将网络安全视为复杂和技术性的事物,例如花在网络安全上的钱只是陷入了黑洞。 或者他们只是假设IT涵盖了所有方面。”

    但是这种自满的态度已经开始改变,使高级管理层的认识下降到了运营层面。 “当这些合规义务像GDPR一样出现时,它促使他们找出其网络安全的状况。 我认为,未来一两年,我们会看到文化上的转变,这将导致企业将网络安全视为他们日常工作的一部分,而不仅仅是依靠IT来完成。”

    评估风险的练习

    Tulin为公司应进行的首批网络安全活动提供了关键建议。 这种方法需要通过制定数据泄露响应计划来探索最坏的情况。 “如何处理违规行为非常重要,因为犯错会导致内部和外部声誉受损。 然后,您就拥有了法律部分。”

    该过程需要什么? “这很容易做到,不需要很多钱。 一旦开始编写该计划(您可以从咨询公司或政府网站获得模板),您就会看到它如何适合您现有的业务连续性和危机管理计划。 确实,这迫使您考虑是否存在数据泄露时需要立即做出的决定。 下一步是进行桌面练习,以测试该计划。”

    数据泄露响应计划确定事件的处理方式,潜在的声誉损失和法规遵从性。 一旦企业开始编写计划,他们就会看到该计划如何与整个业务连续性相适应。 他们还可能意识到自己当前的危险状态,并意识到他们可能无法处理所有数据。 “他们开始提出问题。 '我们有什么数据? 其中有多少是关键或敏感的?” 现在是时候做一个数据映射项目来解决这个问题并将其锁定。”

    缺乏认识和理解仍然是有效管理网络安全风险的最大障碍。 对于希望安全使用的企业,Sevgin接受了此建议。 “保持思想开放,不要害怕教育自己并提出问题,以便您能够理解。” 当什么都不做的风险很高时,这是一个很小的代价。

    翻译自: https://www.theserverside.com/blog/Coffee-Talk-Java-News-Stories-and-Opinions/Cybersecurity-risk-management-doesnt-need-to-be-all-or-nothing

    网络安全风险

    展开全文
  • (案例)信息安全风险评估报告&风险处理计划.pdf
  • 开源软件 安全风险Open source software is very popular and makes up a significant portion of business applications. According to Synopsys, 99% of commercial databases contain at least one open source ...

    开源软件 安全风险

    Open source software is very popular and makes up a significant portion of business applications. According to Synopsys, 99% of commercial databases contain at least one open source component, and nearly 75% of these codebases contain open source security vulnerabilities.

    开源软件非常流行,并且构成业务应用程序的重要组成部分。 据Synopsys称 ,99%的商业数据库至少包含一个开源组件,而这些代码库中有将近75%包含开源安全漏洞。

    One of the major reasons why companies and developers choose to work with open source software is that it saves them from having to develop these base capabilities themselves.

    公司和开发人员选择使用开源软件的主要原因之一是,它使他们不必自己开发这些基本功能。

    Oh, and open source software is free!

    哦,开源软件是免费的!

    Despite its advantages, open source software tends to have vulnerabilities that might impact your data and organization. In order to give you an overview of how open source security risks can impact your business, we have listed the top three open source security risks and ways to address them.

    尽管开放源代码软件有其优点,但它往往具有可能影响您的数据和组织的漏洞。 为了概述开放源代码安全风险如何影响您的业务,我们列出了排名前三的开放源代码安全风险及其解决方法。

    Before we dive into the article, let’s take a look at what exactly open source vulnerabilities are.

    在深入研究本文之前,让我们看一下究竟什么是开源漏洞。

    什么是开源漏洞? (What Are Open Source Vulnerabilities?)

    Open source vulnerabilities are basically security risks in open source software. These are weak or vulnerable code that allows attackers to conduct malicious attacks or perform unintended actions that are not authorized.

    开源漏洞基本上是开源软件中的安全风险。 这些是脆弱或易受攻击的代码,它们使攻击者能够进行恶意攻击或执行未经授权的意外动作。

    In some cases, open source vulnerabilities can lead to cyberattacks like denial of service (DoS). It can also cause major breaches during which an attacker might get unauthorized access to sensitive information of an organization.

    在某些情况下,开源漏洞可能导致诸如拒绝服务(DoS)之类的网络攻击。 它还可能导致重大破坏,在此期间,攻击者可能会未经授权访问组织的敏感信息。

    There are a lot of security concerns when it comes to open source software. For instance, OpenSSL is an encryption library responsible for managing highly sensitive data transmission functions by a wide variety of internet-connected software including the software that runs some of the most popular email, messaging, and web services.

    涉及开源软件时,存在很多安全问题。 例如,OpenSSL是一个加密库,负责通过各种与Internet连接的软件来管理高度敏感的数据传输功能,这些软件包括运行某些最受欢迎的电子邮件,消息传递和Web服务的软件。

    You remember “Heartbleed”? Yes, that caused quite a stir! Yes, that was a critical open source vulnerability in a SSH library.

    您还记得“ Heartbleed”吗? 是的,这引起了很大的轰动! 是的,这是SSH库中的一个严重的开源漏洞。

    Similarly, another popular open source vulnerability was found in 2014 in Bash shell, the default command processor on many Linux distributions. It had an arbitrary command execution vulnerability that could be exploited remotely via server-side CGI scripts on web servers, and other mechanisms. This open source vulnerability is popularly known as “Shellshock.”

    同样,2014年在Bash shell中发现了另一个流行的开源漏洞,Bash shell是许多Linux发行版中的默认命令处理器。 它具有任意命令执行漏洞,可以通过Web服务器上的服务器端CGI脚本和其他机制来远程利用该漏洞。 这个开源漏洞通常被称为“ Shellshock”。

    前三大开源安全风险是什么? (What are the Top 3 Open Source Security Risks?)

    Now that you have a fair idea about what open source security risks are, let’s explore the top three open source security risks that exist today and how you can mitigate these risks.

    现在,您对什么是开源安全风险有了一个清晰的认识,让我们探索当今存在的三大开源安全风险以及如何减轻这些风险。

    软件安全风险 (Software Security Risks)

    Open source vulnerabilities, once discovered, can be a tempting target for attackers to exploit them.

    开源漏洞一旦被发现,可能成为攻击者利用它们的诱人目标。

    Typically, these open source vulnerabilities and the details about how to carry out the exploit are made publicly available. This enables hackers to gain all the necessary information they need to carry out an attack. Combine this with the widespread use of open source software, and you can imagine the havoc it creates when an open source vulnerability is found.

    通常,这些开源漏洞以及有关如何利用此漏洞的详细信息是公开提供的。 这使黑客能够获取进行攻击所需的所有必要信息。 将其与开源软件的广泛使用相结合,您可以想象发现开源漏洞时会造成的破坏。

    One of the major challenges organizations face while addressing open source vulnerabilities is that tracking them and their fixes aren’t as easy as one might assume.

    组织在解决开源漏洞时面临的主要挑战之一是,跟踪它们及其修复程序并不像想象的那么容易。

    Since these open source vulnerabilities are published across a wide variety of platforms, it becomes difficult to track them. Also, locating the updated version, patch, or fix to address the security risk is a time-consuming and expensive process.

    由于这些开源漏洞是在各种各样的平台上发布的,因此很难跟踪它们。 另外,查找更新的版本,补丁或修补程序以解决安全风险是耗时且昂贵的过程。

    Once an open source vulnerability and its path of exploitation are published, it’s just a matter of time until attackers exploit them and hack into your organization. It is imperative that businesses integrate necessary tools and processes to quickly address open source vulnerabilities.

    一旦发布了开源漏洞及其利用途径,攻击者利用它们并入侵您的组织只是时间问题。 企业必须集成必要的工具和流程以快速解决开源漏洞。

    漏洞宣传 (Publicity of Exploits)

    Open source vulnerabilities are made publicly available on platforms like the National Vulnerability Database (NVD), which is accessible by anyone.

    开源漏洞在诸如国家漏洞数据库(NVD)之类的平台上公开可用,任何人都可以访问。

    A famous example of attacks due to publicly available open source vulnerabilities was the major Equifax breach in 2017 where the credit reporting company had leaked personal information of 143 million people. This attack took place because Equifax was using a version of the open source Apache Struts framework that had high-risk vulnerabilities, and attackers used that vulnerability to their advantage.

    由公开可用的开放源代码漏洞引起的攻击的一个著名示例是2017年的重大Equifax漏洞 ,其中信用报告公司泄露了1.43亿人的个人信息。 发生此攻击的原因是Equifax使用了具有高风险漏洞的开源Apache Struts框架版本,攻击者利用该漏洞来发挥自己的优势。

    Such attacks on open source software not only cause data leakage or loss but also impact a company’s market reputation, valuation, and customer relationships. This, in turn, can impact your customer churn rate, retention rate, sales, and revenue. Dealing with the impact of a breach caused due to open source vulnerabilities can be a lengthy, and painful process.

    对开源软件的此类攻击不仅会导致数据泄漏或丢失,而且还会影响公司的市场声誉,估值和客户关系。 反过来,这可能会影响客户流失率,保留率,销售和收入。 处理由于开放源代码漏洞而造成的违规影响可能是一个漫长而痛苦的过程。

    许可合规风险 (Licensing Compliance Risks)

    Open source software comes with a license that allows the source code to be used, modified, or shared under defined guidelines. However, the problem with these licenses is that most of them don’t meet the stringent OSI and SPDX definitions of open source.

    开源软件随附许可证,该许可证允许在已定义的准则下使用,修改或共享源代码。 但是,这些许可证的问题在于,大多数许可证都不符合开源的严格OSI和SPDX定义。

    In addition to that, single proprietary applications often include several open source components, and these projects are released under various license types, such as GPL, Apache License, or MIT License.

    除此之外,单个专有应用程序通常包括几个开源组件,并且这些项目以各种许可证类型发布,例如GPL,Apache许可证或MIT许可证。

    Organizations are required to comply with each individual open source license, which can be quite overwhelming. Especially with the rapid development and release cycle businesses follow along with the fact that there are nearly 200+ open source license types that exist today.

    组织被要求遵守每个单独的开源许可证,这可能会让人不知所措。 尤其是随着快速的开发和发布周期,企业随之而来的事实是,当今存在近200多种开放源代码许可证类型。

    A study of 1,253 applications found that about 67% of codebases had license conflicts and 33% of codebases had unlicensed software. Non-compliance with licenses can put enterprises at the risk of legal action, impacting your operations, and financial security.

    对1,253个应用程序的研究发现,大约67%的代码库具有许可证冲突,而33%的代码库具有未经许可的软件。 不遵守许可证可能会使企业面临法律诉讼的风险,从而影响您的运营和财务安全。

    您如何克服这些开源安全风险? (How Can You Beat These Open Source Security Risks?)

    Next, let’s take a closer look at the solutions to these open source security risks.

    接下来,让我们仔细研究这些开源安全风险的解决方案。

    建立安全第一文化 (Build a Security-First Culture)

    Too often, developers choose to work with open source components based on the functionality and programming language they need. While functionality is important, other criteria should also be included.

    开发人员经常根据他们需要的功能和编程语言选择使用开源组件。 虽然功能很重要,但还应包括其他条件。

    For instance, each individual component of a project may offer functionality, without the need to integrate the entire project codebase. This helps limit the number of open source software and helps simplify integration, remove security risks, and reduce source code complexity as well in non-required components.

    例如,项目的每个单独组件都可以提供功能,而无需集成整个项目代码库。 这有助于限制开源软件的数量,并有助于简化集成,消除安全风险并降低源代码的复杂性以及不需要的组件。

    Open source software is just as likely to have security risks as any other software, so it’s necessary that each component you choose to work with offers functionality and is secure.

    开源软件与其他任何软件一样,都具有安全风险,因此,您选择使用的每个组件都必须具有一定的功能并且安全。

    In addition to this, open source projects are usually focused on delivering new updates with new features for end users. Due to time and budget constraints, enterprises pay less attention to security and are more inclined to release the update as quickly as possible.

    除此之外,开源项目通常专注于为最终用户提供具有新功能的新更新。 由于时间和预算的限制,企业很少关注安全性,而更倾向于尽快发布更新。

    However, companies should maintain a balance between the new releases while ensuring that the design, implementation, and code is secure.

    但是,公司应在新版本之间保持平衡,同时确保设计,实施和代码的安全。

    One of the most important things you can do is to inventory what open source software you use and track vulnerabilities that are associated with these libraries.

    您可以做的最重要的事情之一是盘点您使用的开源软件,并跟踪与这些库相关的漏洞。

    拥抱自动化和扫描开源软件中的漏洞 (Embrace Automation and Scanning for Vulnerabilities in Open Source Software)

    Finding and fixing vulnerabilities in open source software is a big challenge in itself. Companies need to find a way to detect all security vulnerabilities in the open source code in their environments, update the list regularly, drive developers away from old, insecure software components, and finally deploy patches whenever security vulnerabilities are found.

    在开源软件中查找和修复漏洞本身就是一个巨大的挑战。 公司需要找到一种方法来检测其环境中开源代码中的所有安全漏洞,定期更新列表,使开发人员远离旧的,不安全的软件组件,并在发现安全漏洞时最终部署补丁。

    One way to help combat this is to incorporate automated tools that help you continuously track your open source usage and identify security weaknesses, vulnerabilities, fixes, and updates.

    解决此问题的一种方法是合并自动化工具,这些工具可以帮助您持续跟踪开源使用情况并确定安全漏洞,漏洞,修复和更新。

    Automation tools for open source software help identify which packages are being used in which projects, what security vulnerabilities they contain, and how they can be fixed. These tools often come with alerting features as well. If a vulnerability is discovered, notifications are sent to the concerned development and security team to alert them about the newly found security risks.

    开源软件的自动化工具可帮助识别哪些包在哪些项目中使用,它们包含哪些安全漏洞以及如何修复它们。 这些工具通常还具有警报功能。 如果发现漏洞,则会将通知发送到相关的开发和安全团队,以警告他们有关新发现的安全风险。

    Integrating automation to scan security vulnerabilities in open source software is especially important for large organizations, since it can be difficult to track and identify vulnerabilities in all of their source code that is in use.

    在大型组织中,集成自动化以扫描开源软件中的安全漏洞尤为重要,因为要跟踪和识别所有正在使用的源代码中的漏洞可能非常困难。

    Most enterprises are not even aware of their full inventory of applications they have, which makes them more vulnerable to cyberattacks due to unidentified vulnerabilities in the source code. A report says nearly 88% of the codebases have open source components with no development activity at all in the last two years.

    大多数企业甚至不知道自己拥有的应用程序的完整清单,由于源代码中未识别的漏洞,这使它们更容易受到网络攻击。 一份报告说,近88%的代码库具有开源组件,在过去两年中完全没有开发活动。

    交叉训练您的员工 (Cross-Train Your Staff)

    It’s not always easy or even possible to hire professionals who are experts in both development and security. It is, however, possible to train your teams so that they can approach the issues from both ends. While it isn’t always easy to hold regular cybersecurity awareness training for different teams, it’s critical for the overall security of your projects.

    聘请在开发和安全方面都是专家的专业人员并非总是容易的,甚至不可能。 但是,可以对您的团队进行培训,以便他们可以从两端解决问题。 为不同的团队定期进行网络安全意识培训并不总是那么容易,但这对项目的整体安全至关重要。

    Enterprises should ensure that their developers have a general understanding of cybersecurity, as well as the latest trends and updates. Your developers should be able to identify common security issues that arise in open source code, if not fix them.

    企业应确保其开发人员对网络安全以及最新趋势和更新有一般的了解。 您的开发人员应该能够识别出开放源代码中出现的常见安全问题,如果不能解决的话。

    Similarly, the security team should be involved in the development process from the early stages. Rather than making security an after-thought, it should be a priority from the very beginning of a project.

    同样,安全团队应从早期阶段就参与开发过程。 从一开始就应该将安全放在首位,而不是将安全放在首位。

    Just as you analyze and track your development process, you should proactively monitor your security efforts as well. Taking a proactive approach can go a long way in being prepared to handle open source security risks.

    正如您分析和跟踪开发过程一样,您也应该主动监视安全性工作。 采取积极措施可以为应对开源安全风险做好准备。

    最后的想法 (Final Thoughts)

    Open source is an excellent model that can be found in many of today’s projects. However, to ensure secure open source code, you need to acknowledge the security risks that come with open source software. You have to make sure that each of your open source components is delivering value to the project and are secure.

    开源是一个很好的模型,可以在当今的许多项目中找到。 但是,为了确保安全的开源代码,您需要确认开源软件附带的安全风险。 您必须确保每个开源组件都在为项目交付价值并且是安全的。

    Cypress Data Defense helps companies run security audits and strengthen the overall security of their projects by recommending the best security practices.

    赛普拉斯数据防御(Cypress Data Defense)通过推荐最佳安全实践,帮助公司进行安全审核并增强项目的整体安全性。

    We help enterprises create a roadmap for releasing secure updates and provide open source support, scanning, monitoring, and provide solutions to safely and effectively leverage open source software. With Cypress Data Defense, organizations can gain necessary control over their open source components to mitigate open source security risks while increasing their cost savings.

    我们帮助企业创建发布安全更新的路线图,并提供开源支持,扫描,监视,并提供解决方案以安全有效地利用开源软件。 借助赛普拉斯数据防御,企业可以对其开源组件进行必要的控制,以减轻开源安全风险,同时增加成本节省。

    关于作者: (About Author:)

    Steve Kosten is a Principal Security Consultant at Cypress Data Defense and an instructor for the SANS DEV541 Secure Coding in Java/JEE: Developing Defensible Applications course.

    Steve Kosten是赛普拉斯数据防御部门的首席安全顾问,并且是Java / JEE:开发防御性应用程序课程中SANS DEV541安全编码的讲师。

    翻译自: https://towardsdatascience.com/3-open-source-security-risks-and-how-to-address-them-82f5cc776bd1

    开源软件 安全风险

    展开全文
  • 针对目前煤矿安全风险防控缺乏体系化、时效性差、被动响应等问题,设计了一种煤矿安全风险防控及预警系统。该系统以煤矿安全风险库为基础,利用风险地图实现风险状态变化各环节的动态监视;根据异常事件等级进行分级...
  • 将风险管理科学原理应用于煤矿企业的安全管理,形成了用于实现事故控制的风险管理的理论和方法,即系统全面地识别企业生产作业过程存在的安全风险和导致安全风险的因素并且评价其风险程度状况,最终对其采取相应的控制...
  • 信息系统安全风险与防范教学设计
  • 信息安全风险评估介绍ppt,从风险评估的流程,到风评的好处,风评的相关政策,全方位解读
  • 借鉴信息安全风险评估理论,以国家安全资产、开放数据脆弱性和安全威胁作为主要安全风险要素,构建政府开放数据的安全风险评估模型,利用层次分析法和模糊综合评价法对政府开放数据的安全风险进行量化评估,并通过...
  • 信息安全风险评估标准GB20984
  • 介绍华为对于信息安全风险评估的认识、企业为什么需要做风险评估、华为信息安全风险评估服务包内容、华为安全服务体系、华为安全服务成功实践等
  • 论述了老旧电梯安全风险评估的必要性,建立了电梯安全风险评估的程序,分析了电梯危险情节与风险源的识别,确定了如何进行电梯风险要素等级、风险类别评定,并提出降低风险措施,建立通过多层综合评价模型来形成电梯...
  • 现有绝大多数风险评估模型均是基于静态模型指导下的统计学方法,并未考虑到网络空间要素...利用模型对安全措施延迟对信息安全风险的影响进行了仿真研究,结果表明,针对威胁及时采取安全措施能有效地降低信息安全风险
  • 描述了我国煤矿安全生产的现状,特别是近年来国家加大...指出了煤矿安全生产中存在的主要风险问题,分析了安全风险管理的不足之处,并针对主要问题,提出相应的改善对策与措施,使我国安全风险管理能够从根本上得到解决。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 20,281
精华内容 8,112
关键字:

安全风险