您的程式有多安全呢?
一切都與Open Source息息相關
為了確保程式安全,您必須了解您的程式碼!
Open Source是大多數現代應用程式的基礎。然而,位於美國的軟體安全公司Black Duck Software於2016年所做的一份Open Source的未來調查報告中指出,近一半的公司表示他們沒有正式的流程來追蹤與管理他們對於Open Source的使用。
另外在Black Duck Software 2016年的Open Source安全分析報告也發現到,許多開發團隊發現他們的應用程式包含的Open Source比他們以為的還要多。當您無法掌握Open Source的狀況時,可能會使應用程式安全與企業資料面臨已知Open Source漏洞(Open Source Vulnerabilities, 如Heartbleed和Shellshock)的風險!
Open Source透過各種方式進入您的程式之中
到處都可見到Open Source的運用,它從各個地方、各種方式進入您的程式碼中,有時候應用程式的安全漏洞就是這樣產生的。為了確保應用程式的安全性不會受到潛在漏洞的影響,您必須明確的瞭解到:
您的程式碼中有用到哪些Open Source?
您是否已經受到已知Open Source安全漏洞的影響?
您所使用的Open Source是否為最新版本? 是否符合公司政策? 是否符合License要求?
您的程式有Open Source的漏洞嗎?
數以千計的Open Source已知安全漏洞(Vulnerabilities)潛藏於各式各樣的應用程式當中。
缺乏對Open Source使用狀況與安全漏洞的掌控將會增加企業資安風險!
但多數人不這麼認為...
大多數企業總認為公司內的程式沒有使用到很多Open Source、甚至是自認為沒有使用到任何Open Source!
Open Source授權條款使用問題?
每一年,美國的軟體安全公司Black Duck Software都會針對其客戶,包含大型企業、中小型公司以及一些正在進行併購的企業,進行數百個軟體專案的Open Source稽核。
絕大多數程式都有使用Open Source來開發,但您不一定知道有哪些Open Source,更不會知道潛藏甚麼資安漏洞。
另外對於Open Source的License授權問題,也是一個需要審慎面對的層面,一旦牽涉到某些Open Source License,企業可能就得把自身Know-How公諸於世,就如同把整個企業都給Open了。
事實證明,現況並非如此...
美國的軟體安全公司Black Duck Software在2016年針對Open Source安全分析所做的一份統計報告中指出,針對他們在近200個商業應用系統程式所進行的分析調查,確認了Open Source風險管控在軟體開發中的重要性,也強調企業組織必須有效地保護和管理他們的Open Source以及隨之而來的挑戰與威脅。
以下是這份安全分析報告的相關數據比例:
平均每個應用系統的相關數據
您的企業組織對於Open Source風險管控的態度是?
根據企業組織對於Open Source的重視程度與管理方式,我們可以把Open Source風險管控的成熟度分為四種等級:
Lv. 1 - 忽略風險
緊急狀況!
您並不清楚您程式中所使用的Open Source狀況,亦沒有適當的資安策略來管理Open Source的安全風險(Security Risk)以及授權風險(License Risk)。Lv. 2 - 手動管理
大大的麻煩!
透過人工方式手動管理Open Source的使用狀況,其資料正確性、流程皆無法達到準確一致的效果。亦無法管控開發人員對於Open Source的使用。Lv. 3 - 表格追蹤
些許進展!
雖然已有些許進展,但問題依舊存在。開發人員抱怨以手動追蹤的方式來管理Open Source會影響他們的生產力,除了精確度難以維持外,也無法即時獲取最新的安全漏洞資訊(Vulnerabilities)。Lv. 4 - 風險管理系統
最佳辦法!
利用適當的Open Source風險管控工具來管理您的Open Source,藉由工具的自動化,能夠自動識別、盤點Open Source與程式碼,並對應出已知的漏洞(Known Vulnerabilities)和授權要求(License Agreement)。 最重要的是能夠與您既有的開發流程整合而不會影響到您整個SDLC的步調。貴公司的Open Source風險管控成熟度落在哪個等級呢?
面對公司內部數以萬計的程式,身負資安權責的您是否對於下列幾個問題已有答案?已做好準備?
是否完全掌握公司內部程式使用Open Source的狀況?
一旦未來某個Open Source的弱點/漏洞被發現,您是否能快速掌握?立即知道哪個系統含有這個Open Source弱點/漏洞?
對於Open Source的管理(Operational)層面,是否也能夠快速取得每個Open Source的相關資訊?
如果您對於上述問題仍有所疑惑,歡迎您更進一步地來了解本公司的Open Source風險管控解決方案 ─ Black Duck Software