就在不久前,開源web軟體還只是企業的優勢領域;而現在,幾乎所有網路領域都有大量基於開源的web系統在執行。從網路基礎設施裝置到儲存系統再到雲端企業應用,可以說,開源web應用的足跡遍布所有企業。
儘管開源web應用在企業的普及率非常廣,但令人驚訝的是,並沒有多少人在尋找漏洞以及保持開源系統的更新。對於開源人們帶有偏見的成分,並不像對某些作業系統的支援,例如novell netware和mac os x。開源宣言是:開源就是開源,因此,它很「安全」。這裡的設定是,鑑於開源**廣泛可用,意味著每個人都已經嚴格地審核它,並已解決其漏洞,讓其免受攻擊。也就是說,大家都在假設別人正在處理漏洞問題。
顯然,假定別人在處理漏洞問題並不是很好的可長期實行的資訊風險管理戰略。圍繞ssl的安全問題就是很好的例子,這說明開源也不是沒有安全方面的挑戰。而且,根據web應用安全漏洞掃瞄器**商netsparker的最新研究發現,很多企業信任且依賴的開源web應用包含很多安全漏洞。2023年以來,該公司已經掃瞄396個開源web應用,共發現269個漏洞,包括跨站指令碼(180)、檔案包含(16)以及sql注入(55)。
筆者常常很懷疑這種基於**商的研究資料,但筆者在自己執行web應用漏洞和滲透測試後也發現相同的結論。事實上,大多數漏洞(特別是關鍵漏洞)出現在開源平台中,而且,還遠不止這些。筆者發現掃瞄器只發現了一半的web漏洞,另一半隱藏在老式的web瀏覽器中。這就不只是傳統web安全問題了,還可能影響所有應用。
不要盲目相信開源web應用可以免受攻擊,就算它們是「免費」的或在非關鍵系統中執行。企業不僅要在其持續的安全測試中涵蓋這些系統,還需要考慮通過商業工具或開源工具來執行靜態源**分析。企業還應該確保定期補丁管理程式中開源軟體部分的執行。企業應該將其開源應用整合到其系統監控和警報、以及整體事件響應程式中。最重要的是讓開源系統處於檢查範圍中,決不能讓它們「離開視線」。
瘋狂的Web應用開源專案
下面是乙個web應用的開源列表。沒什麼可說的,太瘋狂了。尤其是web 2.0那一堆。我不知道你怎麼想,有些開源專案的原始碼寫得挺不好的,尤其是效能方面。或許你會以為改一改他們就可以成為為自己所用,不過,改這些開源的專案還真不容易。玩玩還可以。數字 相簿 flickr,picasa 電台社群 last...
瘋狂的Web應用開源專案
下面是乙個web應用的開源列表。沒什麼可說的,太瘋狂了。尤其是web 2.0那一堆。我不知道你怎麼想,有些開源專案的原始碼寫得挺不好的,尤其是效能方面。或許你會以為改一改他們就可以成為為自己所用,不過,改這些開源的專案還真不容易。玩玩還可以。數字 相簿 flickr,picasa 電台社群 last...
瘋狂的Web應用開源專案
數字 相簿 flickr,picasa 電台社群 last.fm,ulike 書 librarything,shelfari,goodreads 期刊參考 資料庫 emerald insight,springer link 地圖 google maps 檔案儲存 檔案共享 同步 dropbox,dr...