了解采用开源Web应用：先破除“盲目”和“偏见”

春风秋月

尽管开源W应用在企业的普及率非常广，但令人惊讶的是，并没有多少人在寻找漏洞以及保持开源系统的更新。对于开源人们带有偏见的成分，并不像对某些操作系统的支持，例如N NW和M OS X。开源宣言是：开源就是开源，因此，它很“安全”。这里的设定是，鉴于开源代码广泛可用，意味着每个人都已经严格地审核它，并已解决其漏洞，让其免受攻击。也就是说，大家都在假设别人正在处理漏洞问题。.linuxprobe.com/linux]Linux技术教程的具体问题可以到我们网站了解一下，也有业内领域专业的客服为您解答问题，为成功合作打下一个良好的开端！https://www.linuxprobe.com/linux

显然，假定别人在处理漏洞问题并不是很好的可长期行的信息风险管理战略。围绕SSL的安全问题就是很好的例子，这说明开源也不是没有安全方面的挑战。而且，根据W应用安全漏洞扫描仪供应商N的比较新研究发现，很多企业信任且依赖的开源W应用包含很多安全漏洞。2022年以来，该已经扫描396个开源W应用，共发现269个漏洞，包括跨站脚本(180)、文件包含(16)以及SQL注入(55)。

笔者常常很怀疑这种基于供应商的研究数据，但笔者在自己执行W应用漏洞和渗透测试后也发现相同的结论。事上，大多数漏洞(特别是关键漏洞)出现在开源平台中，而且，还远不止这些。笔者发现扫描仪只发现了一半的W漏洞，另一半隐藏在老式的W浏览器中。这就不只是传统W安全问题了，还可能影响所有应用。

不要盲目相信开源W应用可以免受攻击，就算它们是“免费”的或在非关键系统中运行。企业不仅要在其持续的安全测试中涵盖这些系统，还需要考虑通过商业工具或开源工具来执行静态源代码分析。企业还应该确保定期补丁管理程序中开源软件部分的执行。企业应该将其开源应用整合到其系统监控和警报、以及整体事件响应程序中。比较重要的是让开源系统处于检查范围中，决不能让它们“离开视线”。