一些提高開源代碼安全性的工具

雖然目前開源依然發展勢頭較好，並被廣大的廠商所採用，然而最近由 Black Duck 和 Synopsys 發布的 2018 開源安全與風險評估報告指出了一些存在的風險，並重點闡述了對於健全安全措施的需求。這份報告的分析資料素材來自經過脫敏後的 1100 個商業代碼庫，這些代碼所涉及：自動化、大數據、企業級軟體、金融服務業、健康醫療、物聯網、製造業等多個領域。

這份報告強調開源軟體正在被大量的使用，掃描結果中有 96% 的應用都使用了開源組件。然而，報告還指出許多其中存在很多漏洞。具體在 這裡：

• 令人擔心的是掃描的所有結果中，有 78% 的代碼庫存在至少一個開源的漏洞，平均每個代碼庫有 64 個漏洞。
• 在經過代碼審計過後代碼庫中，發現超過 54% 的漏洞經驗證是高危漏洞。
• 17% 的代碼庫包括一種已經早已公開的漏洞，包括：Heartbleed、Logjam、Freak、Drown、Poddle。

Synopsys 旗下 Black Duck 的技術負責人 Tim Mackey 稱，「這份報告清楚的闡述了：隨著開源軟體正在被企業廣泛的使用，企業與組織也應當使用一些工具來檢測可能出現在這些開源軟體中的漏洞，以及管理其所使用的開源軟體的方式是否符合相應的許可證規則。」

確實，隨著越來越具有影響力的安全威脅出現，歷史上從未有過我們目前對安全工具和實踐的需求。大多數的組織已經意識到網路與系統管理員需要具有相應的較強的安全技能和安全證書。在一篇文章中，我們給出一些具有較大影響力的工具、認證和實踐。

Linux 基金會已經在安全方面提供了許多關於安全的信息與教育資源。比如，Linux 社區提供了許多針對特定平台的免費資源，其中 Linux 工作站安全檢查清單 其中提到了很多有用的基礎信息。線上的一些發表刊物也可以提升用戶針對某些平台對於漏洞的保護，如：Fedora 安全指南、Debian 安全手冊。

目前被廣泛使用的私有雲平台 OpenStack 也加強了關於基於雲的智能安全需求。根據 Linux 基金會發布的 公有雲指南：「據 Gartner 的調研結果，儘管公有雲的服務商在安全審查和提升透明度方面做的都還不錯，安全問題仍然是企業考慮向公有雲轉移的最重要的考量之一。」

無論是對於組織還是個人，千里之堤毀於蟻穴，這些「蟻穴」無論是來自路由器、防火牆、VPN 或虛擬機都可能導致災難性的後果。以下是一些免費的工具可能對於檢測這些漏洞提供幫助：

• Wireshark，流量包分析工具
• KeePass Password Safe，自由開源的密碼管理器
• Malwarebytes，免費的反病毒和勒索軟體工具
• NMAP，安全掃描器
• NIKTO，開源的 web 伺服器掃描器
• Ansible，自動化的配置運維工具，可以輔助做安全基線
• Metasploit，滲透測試工具，可輔助理解攻擊向量

這裡有一些對上面工具講解的視頻。比如 Metasploit 教學、Wireshark 教學。還有一些傳授安全技能的免費電子書，比如：由 Ibrahim Haddad 博士和 Linux 基金會共同出版的併購過程中的開源審計，裡面闡述了多條在技術平台合併過程中，因沒有較好的進行開源審計，從而引發的安全問題。當然，書中也記錄了如何在這一過程中進行代碼合規檢查、準備以及文檔編寫。

同時，我們 之前提到的一個免費的電子書， 由來自 The New Stack 編寫的「Docker 與容器中的網路、安全和存儲」，裡面也提到了關於加強容器網路安全的最新技術，以及 Docker 本身可提供的關於提升其網路的安全與效率的最佳實踐。這本電子書還記錄了關於如何構建安全容器集群的最佳實踐。

所有這些工具和資源，可以在很大的程度上預防安全問題，正如人們所說的未雨綢繆，考慮到一直存在的安全問題，現在就應該開始學習這些安全合規資料與工具。

想要了解更多的安全、合規以及開源項目問題，點擊這裡。

via: https://www.linux.com/blog/2018/5/free-resources-securing-your-open-source-code

作者：Sam Dean 選題：lujun9972 譯者：sd886393 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive