Актуальные темы
BYTE/Россия
IT Channel News
Intelligent Enterprise/RE
itWeek
Бестселлеры ИТ-рынка

Спецпредложения

Промопрограмма "Меняем баллы на рубли".

Промопрограмма "Меняем баллы на рубли".

Спешим объявить аттракцион невероятной щедрости для всех покупателей защищенных складских сканеров! Мы рады предложить вам проверенные временем модели серий ...
Выгодная арифметика от Hyundai: 10 + 1 = 10
Месяц бонусов от Hyundai и STARWIND
Памятные бонусы
АБСОЛЮТ Ланч
A4Tech: готовьте место для подарков!

A4Tech: готовьте место для подарков!

Уважаемые партнеры! Приглашаем вас принять участие в маркетинговой акции - закупайте игровые кресла A4Tech Bloody и получите бонус до 1 000 руб. за каждую единицу ...
Выгодный апгрейд
Снова в сети!
Планшетный бонус
Выгодный апгрейд
Переходи на новый бонус-уровень!

Переходи на новый бонус-уровень!

Уважаемые партнеры! Приглашаем вас принять участие в маркетинговой акции - закупайте в Merlion ноутбуки DIGMA и DIGMA PRO и получите бонус 30 000 руб. за каждый 1 000 000 руб ...
Согревающие бонусы от Acer
Бонус – вам на память
Снова в сети!
Ноябрьские бонусы от Hyundai и STARWIND
Зимний марафон продаж от Delta Computers!

Зимний марафон продаж от Delta Computers!

OCS совместно с компанией Delta Computers запустила программу «Зимний марафон продаж от Delta Computers!» в поддержку продаж персональных компьютеров, мониторов и ...
iDPRT: «Распечатай бонус»
Офисный рай от Buro!
Готовимся к Новому Году с Defender!
"Зимний марафон продаж" от Delta Computers
Универсальные картриджи от NV Print!

Универсальные картриджи от NV Print!

Участники: все дилеры “Сетевой Лаборатории”. Место проведения: центр обслуживания дилеров на ул. Бусиновская Горка в г. Москве. Условия получения призов: 1 ...
Недели жуткой щедрости в iRU. Часть 2. Серверы
Недели жуткой щедрости в iRU
Специальная цена на эксклюзивную новинку - LTE модем ZTE F30Pro
Бонусы до 9%! Сетевые фильтры и силовые удлинители BURO, IPPON, PC PET, STARWIND
12345Все

Десять советов по управлению уязвимостями Open Source

12.09.2014  Экспертиза, Открытый код/Linux

Поскольку разработка ПО становится всё более коллективной, технологичные организации всё чаще включают в свою среду разработки ПО готовый свободный код. В дата-центрах общераспространен Linux, а в веб-сервисах — Apache. ПО с открытым исходным кодом (OSS) всё сильнее доминирует и в сфере Интернета вещей. Разработчики многие годы используют OSS, а для быстрого решения проблем не пишут код с чистого листа, а наведываются в репозитории типа GitHub. «Структурированный процесс внедрения OSS в технологичных компаниях может обеспечить им конкурентные преимущества, позволяя использовать готовое качественное ПО, ускоряя разработки и снижая затраты», — говорит Машад Коголи, CEO компании Protecode, поставляющей решения по управлению атрибутами кода. OSS проходит проверку экспертами сообщества, что обычно обеспечивает ... читать далее.

Open Source стал более зрелым.  Способы управления свободным кодом в организациях становятся все сложнее. Организации с менее развитым процессом освоения Open Source используют систему доверия и ведут учет списка материалов  посредством электронных таблиц или инструмента для коллективной работы. Более зрелые организации обычно интегрируют в свои процессы разработки автоматизированные средства управления Open Source.
Open Source стал более зрелым. Способы управления свободным кодом в организациях становятся все сложнее. Организации с менее развитым процессом освоения Open Source используют систему доверия и ведут учет списка материалов посредством электронных таблиц или инструмента для коллективной работы. Более зрелые организации обычно интегрируют в свои процессы разработки автоматизированные средства управления Open Source.
Процесс внедрения Open Source.  Многие организации начали реализовывать структурированный процесс внедрения свободного кода (OSSAP). Этот проактивный подход использует набор наилучших практик управления пакетами  Open Source с учетом их качества, безопасности и атрибутов лицензирования в ходе разработок. OSSAP позволяет исправлять проблемы сразу при их обнаружении в противоположность реактивному подходу со сканированием кода прямо перед его выпуском.
Процесс внедрения Open Source. Многие организации начали реализовывать структурированный процесс внедрения свободного кода (OSSAP). Этот проактивный подход использует набор наилучших практик управления пакетами Open Source с учетом их качества, безопасности и атрибутов лицензирования в ходе разработок. OSSAP позволяет исправлять проблемы сразу при их обнаружении в противоположность реактивному подходу со сканированием кода прямо перед его выпуском.
Политики Open Source.  Формируйте политику в отношении Open Source как фундамент для всех последующих шагов в процессе внедрения открытого года. Она определяет круг участников совместного процесса,  приемлемых лицензий и одобренных вендоров. Политика также включает меры, которые должны быть предприняты в случае нарушения ее положений.
Политики Open Source. Формируйте политику в отношении Open Source как фундамент для всех последующих шагов в процессе внедрения открытого года. Она определяет круг участников совместного процесса, приемлемых лицензий и одобренных вендоров. Политика также включает меры, которые должны быть предприняты в случае нарушения ее положений.
Одобрение кода.  Сформируйте как проактивную меру процедуру предварительного одобрения пакетов. На этом этапе разработчики должны представлять пакеты Open Source для проверки, после которой их можно будет использовать в разработке.
Одобрение кода. Сформируйте как проактивную меру процедуру предварительного одобрения пакетов. На этом этапе разработчики должны представлять пакеты Open Source для проверки, после которой их можно будет использовать в разработке.
Ручные и автоматические проверки кода.  Проверяйте запрос разработчика на использование свободного пакета либо вручную, либо через автоматизированные средства сканирования кода. Если пакет согласуется с политикой организации и  не имеет уязвимостей в системе безопасности, одобряйте его и выдавайте разрешение группе разработчиков на его использование в проектах.
Ручные и автоматические проверки кода. Проверяйте запрос разработчика на использование свободного пакета либо вручную, либо через автоматизированные средства сканирования кода. Если пакет согласуется с политикой организации и не имеет уязвимостей в системе безопасности, одобряйте его и выдавайте разрешение группе разработчиков на его использование в проектах.
Сканирование базы.  Осуществляйте первичное сканирование портфеля кода с определением базового состава и общего перечня ПО, существующего в организации.  Этот аудит опять-таки может быть автоматизированным или ручным. Этап проверки базы служит для выявления всего открытого и стороннего кода и устранения всех найденных уязвимостей безопасности или нарушений политики использования Open Source.
Сканирование базы. Осуществляйте первичное сканирование портфеля кода с определением базового состава и общего перечня ПО, существующего в организации. Этот аудит опять-таки может быть автоматизированным или ручным. Этап проверки базы служит для выявления всего открытого и стороннего кода и устранения всех найденных уязвимостей безопасности или нарушений политики использования Open Source.
Проверяйте код регулярно.  Регулярно проверяйте всякий код, полученный от подрядчиков или со стороны, на лицензионные нарушения и добавляйте его в перечень одобренного ПО. Ряд организаций предпочитает массовые  проверки непосредственно перед выпуском продукта, но при проактивном подходе желательно проводить проверки через регулярные интервалы.
Проверяйте код регулярно. Регулярно проверяйте всякий код, полученный от подрядчиков или со стороны, на лицензионные нарушения и добавляйте его в перечень одобренного ПО. Ряд организаций предпочитает массовые проверки непосредственно перед выпуском продукта, но при проактивном подходе желательно проводить проверки через регулярные интервалы.
Сканирование в реальном времени.  Проверяйте код на уязвимости и соответствие политике в реальном времени — по мере того, как разработчики соединяют его вместе. При ручном способе проверки разработчики должны  контролировать каждую порцию Open Source или стороннего кода (с составлением списка атрибутов лицензирования или уязвимостей) по мере внесения кода в проект. Используйте и автоматические средства для проверки всего входящего кода, как на рабочем месте, так и в управляющей системе контроля кода.
Сканирование в реальном времени. Проверяйте код на уязвимости и соответствие политике в реальном времени — по мере того, как разработчики соединяют его вместе. При ручном способе проверки разработчики должны контролировать каждую порцию Open Source или стороннего кода (с составлением списка атрибутов лицензирования или уязвимостей) по мере внесения кода в проект. Используйте и автоматические средства для проверки всего входящего кода, как на рабочем месте, так и в управляющей системе контроля кода.
Финальный анализ сборки.  Просканируйте код на уязвимости и соответствие требованиям перед его выпуском. Если организация придерживалась предшествовавших проактивных мер, проверка пройдет относительно  безболезненно. К тому же это подходящее время, чтобы доработать перечень всего стороннего кода, поставляемого с продуктом.
Финальный анализ сборки. Просканируйте код на уязвимости и соответствие требованиям перед его выпуском. Если организация придерживалась предшествовавших проактивных мер, проверка пройдет относительно безболезненно. К тому же это подходящее время, чтобы доработать перечень всего стороннего кода, поставляемого с продуктом.
Самое лучшее — автоматизированные процессы.  “Автоматические комплексные средства и процессы управления ПО категории Open Source позволяют организациям проактивно решать вопросы безопасности, лицензирования и шифрования по  мере разработки кода, — говорят в Protecode. — Такие проактивные подходы предупреждают возможные задержки выхода продуктов, связанные с исправлением проблем непосредственно перед их выпуском”.
Самое лучшее — автоматизированные процессы. “Автоматические комплексные средства и процессы управления ПО категории Open Source позволяют организациям проактивно решать вопросы безопасности, лицензирования и шифрования по мере разработки кода, — говорят в Protecode. — Такие проактивные подходы предупреждают возможные задержки выхода продуктов, связанные с исправлением проблем непосредственно перед их выпуском”.
  


Рекомендовано к прочтению

     
Deloitte: агентный ИИ может в корне изменить рабочие процессы
Новый отчет Deloitte показывает, что агентный искусственный интеллект может быть ближе, чем вы думаете, сообщает портал ZDNet. Если вы пользовались чат-ботом с ИИ, то не ...

Платформенный инжиниринг в 2024 году: в лучшем случае на начальном этапеПлатформенный инжиниринг в 2024 году: в лучшем случае на начальном этапе
Неудачи DevOps продолжают подталкивать организации к созданию команд по разработке платформ для разработчиков. Но многие из них не измеряют результаты, говорится в ...

Шесть облачных тенденций, за которыми стоит следить в 2025 году
Облачные стратегии продолжают меняться по мере того, как организации используют все больше сервисов. Один из главных факторов — искусственный интеллект ...

Почему важно тестировать программные продукты с ИИ
Искусственный интеллект уже стал частью нашей жизни: от медицинских диагнозов до работы онлайн-сервисов и банков. Но как быть уверенными, что он работает ...

API-тренды 2025: фокус на разработчиках
Для индустрии прикладных программных интерфейсов (API) ключ к тому, чтобы идти в ногу с тенденциями, не жертвуя основами, — это подход, ориентированный на ...

Лидеры читательского рейтинга

Подборка по дате

Ноябрь 2024
ПнВтСрЧтПтСбВс
    123
45678910
11121314151617
18192021222324
252627282930 

© 1991–2024 ITRN (Российская служба ИТ-новостей). 109147 г. Москва, ул. Марксистская, 34, строение 10. Телефон: +7 495 974-22-60. Факс: +7 495 974-22-63. Электропочта: itrn@itrn.ru.
Версия 20.2. Создание сайта — студия iMake.