在Log4Shell和Spring4Shell网络攻击事件之后,企业必须吸取三个关键教训,以便在使用开源软件时保持安全:
1.发现风险
为了安全地开发、管理和维护软件供应链,企业必须了解所有环节。
2.不要过于复杂
第二个问题是需要企业自己防护。在开发框架或库时,做好这一点很重要。采取更简单的方法也很重要,这样就不会在不知不觉中引入漏洞。
3.外部化处理
第三,企业在设计和开发不同的应用程序时需要意识到横切关注点。无论是用于日志记录、指标、加密通信还是缓存,重要的是要考虑这些持续存在的问题是否需要在应用程序中处理,或者是否可以将它们在应用程序之外处理。
试图监控和管理所有这些机器身份,同时保留所有软件组件的库存并确保开发保持简单并非易事。现在的企业可能缺乏技能和资源。他们应该利用自动化和安全工具来确保减少漏洞数量,这样就不会像遭遇Log4j网络攻击那样受到广泛的影响。
由 dawei
【声明】:站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。