近年來，隨著網絡攻擊事件的不斷增加，各種規模的組織對開源框架的采用迅速增加。同時，有關開源框架中漏洞的統計信息已使安全管理員重新考慮采用此類開源框架。為了應對這些攻擊，企業正在轉向諸如DevSecOps之類的現代安全實踐。此外，企業正在使用基于欺騙技術的解決方案來實施這些實踐，以防止網絡攻擊事件的發生，提高企業的網絡安全性。

　　開源漏洞和漏洞的風險

在廣泛使用的流行開源框架中，已經發現了許多關鍵漏洞。Heartbleed是OpenSSL 1.01中的關鍵安全漏洞，于2014年被發現，當時影響了幾乎所有安全網站的三分之二。

盡管此錯誤是在2014年發現的，但到2017年為止，全球仍存在超過200,000臺未打補丁的服務器，使它們容易受到攻擊。同樣，彈震錯誤在Unix，Linux和Mac服務器的Bash shell中存在超過二十年，它被發現之前。而且，此類漏洞在被黑客利用時可能會對各種規模的組織產生不利影響。

臭名昭著的Equifax安全漏洞已經影響了超過1.43億美國人的納稅記錄，這是開源系統中的漏洞可以對任何組織造成影響的一個例子。該公司的聲明顯示，開源服務器框架Apache Struts中的一個錯誤是造成破紀錄的安全漏洞的主要原因之一。

該供應商已經在2017年3月修補了該漏洞，但是兩個月后，即2017年5月至7月之間，黑客利用該漏洞來訪問Equifax服務器。修補開放源代碼漏洞的延遲最終導致Equifax被罰款超過7億美元。

不幸的是，并非只有Equifax使用這種開源框架。大約有65%的財富100強公司使用Apache Struts。還有其他幾起事件，黑客利用開源技術中的錯誤在組織內站穩了腳跟，然后實現了他們的惡意意圖。

　　正確的開源方法

盡管發生了上述事件，但許多開發人員仍會爭論，使用開源框架的好處仍然大于相關的安全風險。開源采用的大量增長也證明了這種觀點。

RubyGems見證了開放源代碼注冊表中新庫的兩位數增長，而Python注冊表中的下載量超過140億。從npm注冊表中下載的次數為3170億次，這是Javascript生態系統的核心。

對待開源框架的正確方法不是完全避免它們，而是開發一種系統，該系統可以通過在黑客利用它們之前主動發現并修補錯誤來防止此類事件的發生。做到這一點的一種好方法是持續跟蹤供應商的網站以跟蹤任何更新，并在補丁發布時應用它們。這對于知名廠商的流行產品非常有效。

例如，眾所周知，Red Hat Linux在公開披露的一天之內修復了65%以上的漏洞，而在14天內修復了大約90%的漏洞。但是，并非所有開源應用程序供應商都這樣。估計表明，只有25%的開源供應商將其漏洞通知給用戶，而只有10%的用戶沉迷于提交CVE等其他活動。而且，當一個應用程序涉及多個第三方開源應用程序時，很難立即跟上所有此類供應商的所有更新。

　　開源依賴性問題

除了核心應用程序之外，開放源代碼開發人員經常會對各種現成可用的開放源代碼軟件包產生興趣，因為它使他們可以控制整個源代碼，并易于獲得和部署。但這也增加了整個應用程序的可能攻擊面。

例如，對于使用十個開源依賴項的任何中型應用程序，攻擊者在整個應用程序中都會獲得十個機會，他們可以利用這些機會獲得整個源代碼，并可以嘗試進行滲透。隨著大量各種規模的第三方供應商的參與，總體風險增加。例如，社交共享插件之類的小型第三方組件中的漏洞可能降低整個電子商務平臺的安全性。

根據報告，組織在持續集成/連續交付工作流程中對應用程序安全性測試面臨的最大挑戰是缺乏自動化的集成安全性測試工具。

在這種情況下，您不能依靠供應商或外部機構的通知，而應采取主動的方法來應對任何威脅。所有這些都表明需要一種解決方案，該解決方案需要自動掃描整個組織中的開源應用程序中的漏洞，并主動報告這些漏洞并采取措施。欺騙技術就是解決方案。

　　欺騙技術如何提供幫助？

欺騙技術通過提供額外的安全性以及主動防御已知和未知威脅的方式，提供了增強組織網絡安全性的方法。它通過開發一些模仿組織真正網絡元素的誘餌或陷阱來工作。

當任何對手擊中任何誘餌時，通知就會與所有有用的信息一起廣播到中央服務器，這些有用的信息可以幫助跟蹤和遏制違規行為。基于此技術的工具和產品還可以實時識別和分析零日攻擊和其他高級攻擊，而使用傳統的安全產品則無法解決這些攻擊。

　　使用欺騙技術的好處

使用欺騙性技術可以幫助組織主動防御高級威脅和未知威脅。

　　無形的安全披風

誘餌基礎設施充當了看不見的安全層，可以使攻擊者大吃一驚。通過破壞誘餌的網絡元素，他們將被認為已經獲得了進入內部環境的權限，將采取進一步措施以揭示其意圖。

同時，您會實時獲得準確的警報，通過它們您可以隨時關注他們的一舉一動，收集有關其戰術，技術和規程的所有可能信息，這些信息可進一步用于保護您的安全。通過及時采取行動來保護環境。

　　降低風險和精力

安全的誘餌元素會生成實時警報以及豐富而充足的取證數據，以進行詳細分析。這樣的數據可以幫助濾除誤報，使安全管理員可以節省時間和精力來解決實際問題。

　　垂直和水平可伸縮性

自動警報可以幫助您消除操作任務中所需的手動工作，從而使您能夠提高整個網絡外圍的安全級別。欺騙技術還可以為各種設備提供面包屑，包括現代物聯網設備以及整個組織的舊環境。

　　實際實施-面向開源的DevSecOps

DevSecOps提供了一種操作開源軟件欺騙技術的方法。DevSecOps幫助實現整個DevOps供應鏈的內置安全性，從需求分析到編碼，再到部署，然后連續監控應用程序。在DevOps生命周期的早期階段引入安全性可以幫助最大程度地減少暴露于外界的脆弱表面。

首先，您可以考慮在持續集成和持續交付過程的各個階段中使用自動化漏洞掃描工具。可以使用多種工具來監視安全性和合規性，這些工具可以與基于云的敏捷DevOps方法論集成，并與快速發布周期保持同步。

這可以幫助確保應用程序安全以及快速的應用程序開發和穩定的發布周期。靜態應用程序安全測試還提供了幾種方法，例如源代碼分析，可以直接集成到開發環境中，并幫助掃描各個漏洞，并在各個階段發現專有代碼中的漏洞。召開會議。這樣可確保及早發現和修復漏洞。

　　結論

使用開源框架和組件會帶來巨大的風險，但是，當前有關開源框架的積極趨勢仍然暗示了未來的發展方向。為了忍受開源框架的挑戰，您需要采用DevSecOps。集成安全性的方法應該是無縫且敏捷的，以承受動態DevOps周期而不破壞它。

為自動化開源管理選擇正確的工具集可以幫助控制相關的風險。欺騙技術在采取積極的對策以打擊攻擊者方面非常有用。它們對于實現開源工具的全部收益并避免相關風險至關重要。想了解更多關于網絡安全的信息，請繼續關注中培偉業。