WEB系统安全之开源软件风险使用评估

天翼云开发者社区
• 阅读 316

本文分享自天翼云开发者社区《WEB系统安全之开源软件风险使用评估》,作者:Coding

中国信息通信研究院(China Academy of Information and Communications Technology,以下简称“中国信通院”)在2021年举办的“ OSCAR 开源产业大会”上,发布了《开源生态白皮书》,在其中虽然没有专门阐述开源软件的风险如何防范,但是在其中说明了开源软件的风险和挑战,以及我国在开源治理上的经验。

在对WEB系统的开源软件风险进行评估时,需要参考白皮书中的开源治理要求。不管是直接使用开源软件,或者购买使用了开源技术的商业软件都需要去考虑开源技术带来的风险,但是这两种情况规避风险的责任主体不同。

在风险评估时,按照违约风险、知识产权风险、技术锁定风险、数据安全风险几个方面进行分析。

1.违约风险 在WEB系统使用开源软件时,如果没有遵守开源软件的法律要求,可能会面临法律诉讼、产品召回、声誉损失等风险。

2.知识产权风险 开源软件提倡的开源精神内核是公开、自由、创新,为产业发展注入了巨大的活力。但是WEB系统在使用时如果不了解知识产品和开源软件的开源许可证声明内容,可能会侵犯开源软件权利人的知识产权,会给WEB系统所属的企业或者个人带来经济与声誉损失。 而且多数的开源软件许可证中都存在免责条款,声明作者不提供任何担保责任。如果开源软件依赖了第三方私人技术,WEB系统因为使用了私人技术遭受诉讼,开源软件作者不承担任何责任。

3.技术锁定风险 一些开源软件可能存在技术锁定问题,如果WEB系统过于依赖该软件,可能导致后续无法剥离,对业务的发展产生不利影响。

4.数据安全风险 开源软件存在的安全缺陷相比其它软件多,当前很多企业在使用时没有完全按照规范,甚至可能无法列出使用的开源软件清单。类似系统信息泄露、密码管理、资源注入、跨站请求伪造、跨站脚本、HTTP 消息头注入、SQL 注入、越界访问、命令注入、内存泄漏等安全缺陷都有可能被引入到WEB系统中。

为了降低风险,更好地使用开源软件,需要按照以下方式对上述的风险进行规避。

1.规避违约风险 严格遵守开源软件许可证的要求,避免违规使用。

2.规避知识产权风险 正确处理知识产权问题,评估开源软件依赖的技术,加强知识产权意识。

3.规避技术锁定风险 避免过于依赖单个开源软件,在选取和使用时要考虑尽可能使用多个开源软件,避免技术锁定。

4.规避数据安全风险 定期检查WEB系统以及系统依赖的开源软件是否存在安全漏洞,及时修复漏洞。

点赞
收藏
评论区
推荐文章
Wesley13 Wesley13
3年前
2019云原生产业大会召开 蚂蚁金服贡献云原生典型实践
4月24日,国内最权威、最大规模的云原生应用大会——2019云原生产业大会在北京召开。本次大会上,中国信息通信研究院重磅发布了《云原生行业应用实践白皮书》和《无服务架构技术白皮书》两份白皮书。《云原生行业应用实践白皮书》系统阐述了云原生架构的主要技术、云原生技术的行业落地实践、云原生应用发展趋势和标准化建议。在金融行业落地实践中,蚂蚁金服的
Wesley13 Wesley13
3年前
TARS开源里程碑回顾
在去年12月16日开源中国举办的开源年终盛典上,TARS获得了年度“最佳原创开源软件”奖。!(https://static.oschina.net/uploads/space/2020/0702/162947_WUDz_4021301.jpg)谈到微服务,人们往往会提起SpringCloud和ServiceMesh。
Wesley13 Wesley13
3年前
2018中国开源大会
OpenSource这个词在1998年初次被提出来,至今开源已经被提出20年。2018年中国开源大会于10.20~21日在深圳举行,这是一次开源的盛会。这次大会由OSI中国成员“开源社”主办,参会的企业包含国内很多的大厂,还邀请了不少国外积极参与开源的机构。这两天了解了很多开源协作平台以及各种出色的开源框架。大会举行两天,在上午在主会场大咖上
Stella981 Stella981
3年前
DevOps 安全威胁,你值得关注!
随着开源软件被大量引用,线上运行的代码中超过80%的部分是开源代码。软件安全的重点已经从内部代码转移到所引用开源部分上。DevOps安全需要关注内部研发团队的自研代码以及外部第三方开源软件的安全,对于内部代码,所使用的依赖必须清楚,如果底层依赖有风险,还必须快速反向分析哪些其他软件受到同样的威胁;目前DevOps安全团队和持续交付团队往往独立运行,信息交
安全可信 | 通过多项评估认证!天翼云与业界伙伴共谋云上安全发展!
近日,由全球数字经济大会组委会主办,中国信息通信研究院(以下简称中国信通院)与中国通信标准化协会联合承办的2024全球数字经济大会云和软件安全论坛暨第二届SecGo云和软件安全大会在北京召开。本届论坛聚焦云和软件安全最新发展趋势,以“链接云端,可信而安”为主题,为产业界提供丰富多样的信息交流平台,通过云安全、零信任、安全大模型、软件供应链治理等议题全面展示中国信通院在创新安全领域的研究探索与实践。
荣誉再加码!2024可信云大会,天翼云载誉而归!
7月23日,由中国通信标准化协会主办,中国信息通信研究院(以下简称“中国信通院”)承办的2024可信云大会在北京成功召开。大会主论坛上,中国信通院携手天翼云共同发布《央国企云上数智实践指南(2024)》,天翼云科技有限公司助理总经理宫梅霞出席发布仪式;同时,天翼云还参加了《云网融合下智能算力网络应用发展白皮书——基于DPU的SRv6应用实践》《低空经济云发展研究报告》《大模型智算服务研究报告》等多个重磅仪式,通过多项可信云评估并斩获多项“最佳实践”奖。天翼云科技有限公司行业事业部总经理王晓东发表演讲,与业内伙伴共话云计算产业发展与未来趋势。
开源标杆!天翼云TeleDB入选《2024央国企开源项目典型实践》!
近日,由中国通信标准化协会主办、中国信通院承办的2024OSCAR开源产业大会在北京召开,会上发布《2024央国企开源项目典型实践》,天翼云科技有限公司打造的“TeleDB分布式数据库在开源社区的特性贡献案例”成功入选。本次入选不仅是对天翼云TeleDB数据库技术创新性的权威认可,也进一步提升了天翼云TeleDB数据库在开源领域的行业认可度和影响力。
天翼云供应链API安全治理实践获“优秀治理实践奖”
近日,由工业和信息化部网络安全管理局指导,中国信息通信研究院主办的首届信息通信软件供应链安全社区成员大会顺利召开。大会以“强化软件供应链安全治理助力信息通信业健康发展”为主题,旨在探索软件供应链安全治理模式,从根源上防范风险,促使安全治理工作得到真正落实并收获成效。大会现场公布了4类优秀成果评选结果,天翼云基于边缘云WAF实现API安全管理实践成果获评“优
天翼云发布云原生关系型数据库TeleDB for openGauss
近年来,开源软件强势崛起,从开源使用者到开源贡献者,中国的开源数据库产品,让数据库市场格局产生了新的变化。12月28日,openGauss开源社区在北京举办主题为”汇聚数据库创新力量逐梦数字时代星辰大海“的年度开源数据库技术峰会。中国电信天翼云首席专家侯圣文现场发布了运营商首个云原生关系型数据库TeleDBforopenGauss。目前,数字经济占我国
安全可信 | 首批!天翼云边缘安全加速平台AccessOne通过信通院“软件自研创新能力”专项评估
近日,中国信息通信研究院(以下简称“中国信通院”)公布“软件自研创新能力”专项评估(简称“可信研创”)结果,天翼云边缘安全加速平台AccessOne顺利通过评估,成为首批通过该项评估的云服务商。
天翼云开发者社区
天翼云开发者社区
Lv1
天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等全线产品和场景化解决方案。
文章
696
粉丝
15
获赞
40