程序员大本营GitHub遭黑客劫持,谁来为开源代码安全问题买单?:亚博App手机版

本文摘要:引言:6月14日,亿欧5G物联峰会在上海虹桥召开,峰会由上海市经济和信息化委员会、上海市商务委员会等多个部委指导。

引言:6月14日,亿欧5G物联峰会在上海虹桥召开,峰会由上海市经济和信息化委员会、上海市商务委员会等多个部委指导。峰会将特邀政府、学界、商业、投资机构等领域的专家参加演讲,围绕5G产业发展机会等话题展开共享交流。

峰会前夕,亿欧精选5G、AI等科技行业深度文章,供各界人士参考。更多的峰会喜欢页面5G物联峰会。着名的邂逅网站GitHub是程序员的大本营,很多人管理源代码,大大利用社区开源资源开发新算法、软件、应用。

这样的极客聚集的平台,竟然被黑客困住,委员会有点幻想。5月2日起,GitHub遭到黑客的反击,370多名用户的源代码和信息被命名为GitBackup的账户被删除。

黑客iTunes将代码存储在自己的服务器上。拒绝向特定账户支付0.1比特币。如果我们在今后10天内没有收到你的支付,就不会公开发表或用其他方法使用你的代码。

花开了两个表格,我们GitHub程序员忙着找代码,隔壁微软公司的开源开发平台也意外地被黑客排名。黑客抛弃了392个代码存储库,拒绝微软公司支付一定的钱,不返还被盗的数百个源代码。回应,不少受害者指出,开源平台遭到反击是其上面研发的APP存在漏洞,被黑客利用。那么,有什么解决办法吗?GitLab建议用于强力密码减少被密码风险,开启双重身份检测,用于SSH密钥等……!全球顶尖程序员汇聚的平台,安全措施也这么完整?富土康生产线工人,村头王爷爷的邂逅账号也这么注意吗?GitHub程序员被劫持的事件给业界带来了生动的课程,警告人们,开源软件和组件的先天性不足可能给普通网民和企业的安全性带来很大的风险,特别是建立数字网络的技术人员也可能打瞌睡。

从GitHub来看,开源社区集体补充了安全性行为课的1998年,开源的概念首次明确提出,到2019年已经是童年的20个春秋。凭借对外开放、共享、权益等特性,开源平台在软件开发中发挥着更重要的作用。根据Gartner的调查,99%的组织在IT系统中被用于开源软件。

众所周知的日常软件功能,如账单、娱乐社交、工作效率等,60-80%的代码库来自开源社区。前几天Snyk公司发表的2019年开源安全性现状调查报告书也说明了开源项目的采用率以不可思议的速度迅速增加。

仅2018年,Java的工具包翻了一番,而NPM的工具包减少了约25000个。数字时代的进度条,由于开源而迅速读取。

但是,步伐太大,容易摔倒。影响网络安全的只有排斥,不也要追溯到开源社区吗?根据Snyk报告,37%的开发人员在持续构建(CI)期间没有实施任何类型的安全性测试,54%的开发人员没有对Docker镜像进行安全性测试。

这在两年内,各大平台的应用漏洞数量急速增加了88%。在GitHub排名前40万的公共代码库中,只有2.4%有安全文件。npm和Maven中央仓库的安全危险尤其严重。

因为两者也是工具包数量急速增加最少的平台。工作了很长时间的开发者们不系安全带就出了事故吗?话又说回去,不存在漏洞对你影响不大?本来不必这么紧张,但是在开源的情况下,事情看起来很不一样。因为开源部件没有漏洞(一般称为CVE)时,该漏洞不会立即发布。

本来,开源可以让更多的人立即发现漏洞,继续适当的修理。殊不知,一些图谋不轨的人也能在一定程度上看到这些信息。他们完全不需要付出太多的代价来理解哪些组件更容易受到反击和如何实现。

然后找哪些平台或者公司可能会反应迟钝,等到修复之前白白扔掉系统。2018年4月,黑客暴力解读了流行开源Magento电子商务平台的密码,利用获得的采访权掠夺信用卡记录,安装了加密货币挖掘的恶意软件。

另外,着名的OpenSSL水牢漏洞事件、心脏滴血事件、Equifax数据泄漏事件、Gmail、yahoo、Hotmail账户泄漏等,被黑客保护护的机会。数据显示,现在开源平台的脆弱性经常出现到修理的时间,中位数完全长达2年。这意味着所有用于脆弱代码和组件的软件用户,只是在黑客们的影子中再也没有动手的喜悦下盲目幸福地在网上冲浪。那么问题来了,程序员们是什么心大,有时会给黑客们送头呢?欺骗自己的大家的眼睛,和软件开发的三重门一样,源代码所谓的大家的眼睛,无法有效地消除安全漏洞,至少在黑客复活前不能消除危险。

现在,源代码发出安全漏洞的事件有时会再次发生,但是很多项目没有调查和修理问题的机制。这样,GitHub的程序员用户幸运地增加了,至少他们可以用赎金买回自己的代码。被盗回顾信息的普通用户可能不会成为黑客们的肉鸡。

但问题是,如果我们不吃餐厅的食物而中毒,我们可以起诉这家餐厅。但是,某种程度的逻辑在数字世界并没有正式成立。如果用户因软件中毒/个人信息被盗,他就不能向平台负责管理。

此外,软件开发人员不会在用户许可协议中开展正当理由,拒绝用户同意不要因安全漏洞而起诉。因此,剑桥大学的安全研究员Richard,Clayton博士明确提出了让软件开发者对可以避免的安全漏洞造成的损失负责。欧盟官员也曾考虑过,他们试图将开发商的草率代码不道德造成的故意漏洞引入法律。

但是最后不行了。微软公司这样驳斥:软件公司也是(黑客/罪犯)入室盗窃的受害者,大众听说一起会被劝说吗?打脸的是,在对500多名开源项目维护人员的调查中,明确展示了约30%的开源工程师的安全意识。这意味着程序员和软件开发者不像大众希望的那样,更加稳定地建造门窗。引起这种现象是软件开发产业链整体蔓延的迷恋热情。

首先,开源社区正在考虑失去彼此的安全性审查。一般来说,为了避免开源项目的灾难,社区不会根据Linux的Linus去Torvalds,用他们的千眼大大审查代码。运输人员要小心,检查代码,检查潜在漏洞,向安全性数据库报告。但是,由于开源资源产生于骑士,很多脆弱性软件在GitHub、nowhere.net等网站上没有大量流通,因此继续监视,在黑客面前发现脆弱性也发生了困难的任务。

其次,越来越有助于开发的门槛和随意的开发者。过去,需要开发开源组件的开发人员本身素质高,代码质量高,开源组件有漏洞的可能性小。但是,随着很多界面友好关系的平台频繁出现,GitHub看起来像,即使是初学者的编程也可以利用Git的任何人都可以免费注册和管理地的公共代码存储库,也可以利用GitHub开展其他类型的项目。

缺乏安全基础的开发商激增,很多潜在组件的安全特性被忽视,这些特性往往是导致漏洞的原因。而且,即使是成熟期的开发商,也要大大应用于更新过程中解决问题的新漏洞。

但是,很少有程序员不会审查原来的工程中使用的仓库。一般来说,下到开源项目页面的iTunes,构筑在自己的应用中,与之无关很长时间。

这些软件自然会像菠萝罐头一样快速到期。在此基础上,企业利用开源软件和部件开展研究开发,就像在摇晃的积木塔上盖大楼一样,只靠运气。大多数企业的研究开发团队对开源软件的使用非常自由,这给应用的安全风险管理带来了很大的挑战,运输人员也不知道软件系统是否包括开源软件,包括哪些开源软件,这些软件是否没有安全漏洞。

许多云供应商在上传企业数据之前加密数据。例如,OpenStack没有得到任何数据加密方法。

这需要企业和用户自己加密数据,加密后的数据和管理钥本身上传。另外,由于兼容性问题、合规性问题等原因,也有不能转入最近版本的源代码的公司,不能用于包括漏洞在内的旧代码。

据Snyk报道,只有16%的漏洞补丁适合其他版本。这也给黑客们带来了很多机会。总而言之,从源代码建设、共享、研究开发等一系列产业链中不调,产生了涟漪效应,最后发生了令人头痛的安全事故。那么,除了改为密码、补丁外,产业末端还有更根本的方法来消除这样的危险吗?源代码的安全性之战,不是另一种开放方式吗?无论从哪个角度来看,进入源代码的安全性战争都是非常必要的不可追击的全国人民战争。

当然,普通用户不能打电话,冲锋的是软件公司和程序员们。回应,行业也开始采取一些从根本上解决问题的方法。一、脆弱性奖励2012年,谷歌发售了Chrome奖励计划和脆弱性奖励计划,希望程序员找到浏览器和在线服务的明确弱点,普遍使用的开源软件尽量不那么容易反击,支付500美元到3133美元的平均报酬2013年,美国国家安全局也出资了2510万美元,作为追加秘密销售软件的弱点。

如今,漏洞奖励计划已经成为许多互联网公司最重要的安全策略之一。微软推出了迄今为止最低的Windows奖励计划,超过25万美元。

苹果、美国国防部、脸书、腾讯、蚂蚁ASRC、百度等为其脆弱性支付的总额也令人难以置信。在奖励下,安全漏洞的时间差也将在未来有效增加。二、新技术工具无论是为了避免源代码中的信息泄露,还是为了寻找故意的文件,制止故意的过程,确保终端的安全性,可以使用更多的技术工具,很多云安全公司和运营商等也开始参加安全工具的开发。

例如,在最近的开源领导峰会上,Linux基金会宣布了Redteam(红队)项目。新项目有助于提高产卵开源网络的安全性。作为开源安全性工具的孵化器,RedTeam反对网络范围自动化、容器化渗透测试工具、二进制风险分析和标准检测程序等。

需要在云中模拟黑客攻击,用户可以配置黑客剧本,对现实团队进行安全训练。CommitWatcher等各种开源工具经常出现,协助程序员查询潜在的危险犯规,使软件开发过程大不相同。

三、加密算法如果把数据信息看作是网络世界上最宝贵的财富,加密机制是可以维持数据的保险箱。不仅要大幅度传递箱体制作的水火,还要大幅度传递锁芯的防线。特别是现在更多的机构和企业自由选择云计算技术作为简单业务的解决方案,开源云平台的安全性问题也更快,因此数据加密算法的解决方案尤为重要。看起来可以对企业数据进行安全等级,对等级低的数据进行平面算法加密,对平面算法产生的秘密钥进行非对称加密存储,考虑数据和安全性和系统运营效率。

在硬件末端,谷歌也刚刚推出了新的低端手机加密标准Adiantum。在没有充分计算能力芯片的前提下,它还可以建立高速计算来加密和解密哈希算法,从而提高终端设备的安全性能。

将来,开源社区的灵活性和对外开放的建设方式,不会成为其他后来开发江湖的根据地。但是,对外开放和权利成为双刃剑,成为东流奶和蜜数据丰富的地方,容易被非法者虎视眈眈。至少从GitHub来看,源代码的安全性问题应该已经回到危险的临界点,给至今为止违反赛车族的行业带来了警钟。

用开源软件的提倡者Eric,S.Raymond是高品质的代码,是程序本身最差的注释。*关于5G、AI等最先进的技术信息,你有什么期待?页亿欧5G物联峰会了解更多消息。

本文关键词:亚博App手机版,亚博App

本文来源:亚博App手机版-www.indiadailylife.com