开发四年只会写业务代码,分布式高并发都不会还做程序员?  

Veracode 的战略 VP,同时也是 OWASP 创始人的 Mark Curphey 在一次关于开源软件库的使用和风险的会议上表示,我们正处于应用安全的根本转折点上。

他认为这种转变源于三大趋势:

  • :使用云将从根本上改变我们对安全性的看法。

  • 开源的应用:与云类似,向开源的转变既会带来更大的安全风险,同时也会带来改变和提高安全性的机会。当每个开发者都使用同一个资源时,大家会专注于保护这一个资源,这会使得其安全性大大提高。

  • DevOps:DevOps 专注于自动化和持续交付,它将改变我们对安全性的思考方式,同时让我们思考如何将其嵌入开发人员流程中。

开源方面,Curphey 强调开源的生产和消费都有不断变化的趋势,在消费端,很难找到一家没有使用开源代码构建产品和服务的公司。他引用 SourceClear 的数据表明,高达 95% 的客户代码库都是开源的。另一方面,在生产端,我们可以看到正在创建的开源库数量有所增加,而且它们的分发速度也更快,并且体积越来越小。数量和速度的增长最终意味着更难以仔细检查哪些是安全的,哪些是不安全的。与此同时,开发速度也在不断提高,这意味着任何减慢或中断开发人员工作流程的安全检查都不会有效。今天的应用安全需要无阻碍且简单,这在很大程度上意味着自动化。

Curphey 指出,今天我们需要改变对于应用安全的思考方式,仅确保开发人员了解如何安全编码并扫描他们的代码是不够的,这会带来巨大安全隐患。更重要的是要考虑开发人员在其代码中使用的开源库。开源现在是创新的关键,并且有安全使用它的有效方法,这需要改变我们的安全思想以适应这一新的现实,而不是去惧怕它。

另一个方面,攻击者不仅仅攻击开源库,他们还创建恶意的开源代码,组织在不知情的情况下将其纳入其系统代码库中,这也是一大趋势。

但 Curphey 同时也指出,不用过于担忧,应对方法在于关注首要问题,他解释,在许多情况下,当开发人员引入开源库时,他们只使用了其中一小部分代码,可能只是其中一种函数或者一个功能。因此,即使开源库被标记为易受攻击,采用组织的系统可能也不会受到攻击。在这样的情况下,安全团队需要帮助开发团队确定可接受的风险并确定补救或缓解的优先级,关注于首要解决的安全问题。

OWASP 创始人:关注首要问题,开源库也可以放心使用相关推荐

  1. 为何选择iText?java PDF开源库选择与iText发展历史

    作者:CuteXiaoKe 微信公众号:CuteXiaoKe 转眼间,我写iText7系列已经有一年多了,还记得最开始的时候是因为兴趣才翻译iText,不过随着慢慢翻译文章才发现iText的强大之处, ...

  2. python开源库推荐_推荐5个值得关注的Python开源项目

    原标题:推荐5个值得关注的Python开源项目 今天小编看到了五个开源项目,觉得还错,推荐给大家. 1.Wagtail CMS Wagtail是一个基于Django的CMS系统 它拥有优质的用户体验 ...

  3. 利用人工智能(Magpie开源库)给一段中文的文本内容进行分类打标签

    当下人工智能是真心的火热呀,各种原来传统的业务也都在尝试用人工智能技术来处理,以此来节省人工成本,提高生产效率.既然有这么火的利器,那么我们就先来简单认识下什么是人工智能吧,人工智能是指利用语音识别. ...

  4. 集合70多种推荐算法,东北大学老师用Java写了一个开源库,在GitHub上收获近1500个Star...

     [AI科技大本营导读]在经过一年多的开发工作之后,LibRec 3.0 版本终于发布了.LibRec 是一个基于 Java 的开源算法工具库,覆盖了 70 余个各类型推荐算法,可以有效解决评分预测 ...

  5. Kimera:一个基于度量语义的SLAM开源库

    标题:Kimera:an Open-Source Library for Real-Time Metric-Semantic Localization and Mapping 作者:Antoni Ro ...

  6. 伯乐:一个易用、强大的PyTorch推荐系统开源库

    来源:RUC AI Box 本文约3500字,建议阅读5分钟 4类53个模型,27个数据集,又一推荐系统神器! [ 导读 ]是否还在为推荐模型无法复现而怀疑人生?是否还在为不知如何入门推荐而踌躇不前? ...

  7. 收藏,7个学习Python编程的最佳开源库!

    点击上方"AI遇见机器学习",选择"星标"公众号 重磅干货,第一时间送达 仅做学术分享,如有侵权,联系删除 转载于 :机器学习算法与Python实战 很多伙伴们 ...

  8. 走过19年,每年千万下载量,科学计算开源库SciPy的前世今生

    点击上方"AI遇见机器学习",选择"星标"公众号 重磅干货,第一时间送达 转自:机器之心 每年千万下载量,科学计算开源库 SciPy,你已经是个成熟的小伙伴了. ...

  9. SDWebImage开源库阅读分析(全)

    汇总记录: 本文基于SDWebImage 4.2.3版本进行分析和整理(链接地址). 整体目录结构: SDWebImage |----SDWebImageCompat 处理不同平台(iOS.TV.OS ...

  10. C++开源库,欢迎补充。

    C++在"商业应用"方面,曾经是天下第一的开发语言,但这一桂冠已经被java抢走多年.因为当今商业应用程序类型,已经从桌面应用迅速转移成 Web应 用.当Java横行天下之后,MS ...

最新文章

  1. 烂泥:php5.6源码安装及php-fpm配置与nginx集成
  2. Spring Boot 内嵌容器 Tomcat / Undertow / Jetty 优雅停机实现
  3. 10进制转16进制 java_Java中将10进制转换成16进制
  4. 【每日算法Day 102】美团 AI 平台算法工程师面试编程题
  5. Qt界面语言设置(官方汉化)
  6. STM32CubeMX+Keil+Proteus实现LED接电源跑马灯
  7. AD转换器输入之前接一个电压跟随器是为什么
  8. BatchConfigTool批量配置工具
  9. DDR3内存技术原理
  10. 大学寒假这样过,过完惊艳所有人,不只是你的宿友,mysql基础教程西泽pdf
  11. 一款无需安装,免费下载全景图的网站
  12. 逆分布函数法生成随机数(以指数分布和双指数分布为例)
  13. 常用的python 开源 IDE
  14. Android 最小化界面
  15. *2-1 OJ 254 翻煎饼
  16. 学习Java最好选择哪本书?
  17. 干饭篇-西红柿炒鸡蛋+银耳红枣粥
  18. 2016-12-26 菜鸟上路(4)——VS中关于MFC界面设计
  19. 推荐几个Python学习神器
  20. 后台业务账单和微信支付后台的订单对账步骤

热门文章

  1. Machine Learning ——Homework 8
  2. Machine Learning——Homework 6
  3. pandas 下一行减去上一行
  4. linux和宿主机windows之间建立共享文件夹
  5. 遥感技术在水利行业中的应用
  6. 【ArcGIS操作】3 数据制图篇
  7. 关于socket的简单的客户服务端编程
  8. 图片版坦克大战源代码之坦克类(二)
  9. 微信支付v3 php 源码,求微信支付wxpayv3服务端完整代码
  10. 详解 Flink 指标、监控与告警