开源软件以其转换思维、破除壁垒、充分共享等特点,颠覆了传统软件开发模式,越来越多的企业或个人开发者选择拥抱开源代码。然而,开源软件在实现开放协同、互利共生的同时,也向网络犯罪分子敞开了大门,给开源软件使用者带来了诸多风险。近日,安全牛采访了深圳海云安网络安全技术有限公司(简称“海云安”)首席科学家齐大伟博士,就开源软件安全治理相关话题进行了探讨。
齐大伟海云安首席科学家
本科就读于清华大学计算机科学与技术专业,新加坡国立大学计算机科学博士,专注于软件工程、程序分析、程序安全、自动化测试及修复等方面的研究。
开源组件给软件开发带来了红利,但同时也引入了安全风险。您认为目前开源组件应用的典型风险有哪些?
齐大伟:
使用开源软件或组件带来的风险主要体现在两个方面:
首先,组件自身存在安全漏洞,有些漏洞甚至是高危的,可以被攻击者直接利用,这些漏洞是由程序中的Bug导致。组件漏洞会导致使用该组件的系统暴露在安全风险之下;
其次,每个组件开源时都会有许可声明,规定使用者可以用开源代码做什么事情,不能做什么事情,有些会要求不能商用或者在商用时有一定限制等,使用了这类组件的软件制品会受许可声明的限制,如果没有注意,在使用时违反许可合规要求就需要承担法律风险。
我们看到,国家监管机构也越来越
转载请注明:http://www.0431gb208.com/sjszyzl/3801.html
