智慧城市的意义不仅仅在于技术

. 解决依赖性问题

Veracode的2020年软件安全状态报告强调了一个常见的软件安全问题。与开发人员本身不同，“相互关联的依赖关系”会间接地在应用程序中引入潜在的风险，这些风险可能会被大多数开发人员所忽略。“我们的数据显示，大多数有缺陷的库都间接地变成了代码。应用程序中有47%的缺陷库是可传递的--换句话说，它们不是由开发人员直接引入的，而是由某个库所引入的(42%是直接引入的，12%是两者兼而有之)。这意味着开发人员引入的代码会比他们预期的要多，而且往往是有缺陷的代码。”

然而，根据Veracode的说法，纠正这个问题似乎并不是一项重大的任务:“解决这些库中的安全缺陷通常不是一项重要的工作。应用程序中大多数库所引入的缺陷(将近75%)都可以通过较小的版本更新来解决。通常不需要主要库的升级!这一数据表明，问题的关键在于发现和跟踪，而不是大规模的代码重构。”

3. 自动进行代码扫描以查找未知项

章鱼扫描事件和其他形式的开源生态系统的滥用，如typosquatting，已经促使像GitHub这样的库维护者必须强制对他们所托管的开源项目进行自动扫描。正如今年所报道的那样，GitHub现在已经集成了基于CodeQL的开源存储库的自动扫描。

GitHub高级产品经理Justin Hutchings告诉Register网站，“事实证明，这种能力在安全方面是非常有用的。大多数安全问题都只是错误的数据流或错误的数据使用。”

除了识别出隐藏的漏洞和bug之外，还可以定期扫描开放源码的项目，以寻找出数据泄漏的迹象，比如贡献者无意中公开的私钥和凭证。从去年开始，一些供应商就已经在他们的产品中集成了自动扫描功能，以识别发布到合法开源存储库中的恶意软件。这些技术会将行为分析与机器学习相结合，以主动搜寻“假冒部件”。

独立开发人员在较小规模上发布的实验性开源扫描器(npm-scan)也出现了，可以使用启发式方法检测易受攻击的组件。

在组件进入供应链之前，使用自动化工具实现这种广泛的安全审计可以帮助增加开源生态系统中的信任度和完整性问题。

4. 小心许可风险

使用开源软件的关键好处是它的许可证所提供的自由。如果你在开源包中发现了一个尚未修复的bug，你可以选择自己修复它，而不是等待供应商。你可以在你的项目中定制一个你认为合适的开源应用程序，并将定制的版本交付给你的客户。

但是，要了解使用开源组件可能产生的任何潜在的许可冲突，就可能需要更多的技巧了。Synopsys发布的2020年开源安全与风险分析报告指出:

当一个代码库包含开源组件，而其许可证可能与代码库的总体许可证发生冲突时，声明的许可证冲突就会出现。例如，GNU通用公共许可证v2.0(GPLv2)下的代码在编译成一个正常分布的商业软件时通常就会引起冲突问题。但对于被认为是软件即服务(SaaS)的软件来说，相同的代码就不是问题。”

对于在不同上下文中使用相同的开源应用程序的开发人员来说，这些相互冲突的术语可能会造成混淆。除了漏洞和恶意组件之外，一些自动化解决方案还可以识别出大量的许可证和由它们所引起的潜在冲突。

Black Duck的一份报告发现，2019年审计的代码库中有67%包含有许可证冲突的组件。对于某些行业，如互联网和移动应用程序，这一比例还要高得多(93%)。“GPL是比较流行的开源许可之一，它的各种版本也可能会与代码库中的其他代码产生许可冲突。事实上，前10个有冲突的许可证中有5个就是GPL及其变体，”该报告称。

 

根据Zen Internet的一份新报告，不可靠且缓慢的互联网连接连接正在严重影响远程工作者的有效执行能力。

该公司发现，89%的远程工作者由于互联网状况不佳而每天浪费30分钟以上，相当于每年130多个小时。与此同时，该分组中有八分之一的人每天损失一小时或更长时间，即每年损失260多个小时。

总体而言，有84%的远程工作者声称遭受间歇性连接的困扰，而有86%的远程工作者声称他们的互联网速度并非最佳。超过一半的远程工作者(57%)认为，这归咎于家庭对带宽需求的增长，互联网速度明显放缓，而其他室友和家庭成员也在使用在线服务。

这些问题引起了企业领导者的关注，据Zen Internet公司表示，如果员工试图在在线系统附近工作，那么从长远来看，这些员工的挫折感可能会导致严重的生产力问题，并导致员工失业。

Zen Business公司总经理MartinO’Donnell表示：“作为业务负责人，企业希望确保员工具备所有能力，尽可能有效地完成工作，无论他们是否全职回到办公室。将员工直接链接到企业网络，同时还为覆盖范围较差的员工提供多重连接解决方案，以增强他们的互联网，这意味着企业可以在其家中利用基于办公室的连接带来的好处。这将显著有助于解决由于连接不良或不可靠而导致的生产力问题。”


 

（编辑：唐山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!