保护企业系统中的代码安全（企业安全防护系统）

保护企业系统中的代码安全（企业安全防护系统）

随着企业越来越依赖开源代码，在享受使用开源代码便利的同时，开源代码的安全问题也成为企业的”安全噩梦“。

开源代码是一把双刃剑

开源的核心是即用型软件，可以帮助团队缩短开发时间提高开发人员效率。但开放源码是在社区参与的基础上开发。如果社区对项目失去兴趣，或者关键人员被召集到另一个项目中工作，开发就会停滞。此外，由于开发人员认为定位和修复bug是社区的责任，所以bug可能会被忽略。当社区对漏洞或缺陷的修补缓慢时，安全问题也将带入到企业当中。

在面对开源组件时，尽管企业中的许多人依赖开源代码，但他们很可能不将代码视为自己的代码，并且通常不会将相同的安全控制应用于他们自己的本地构建代码。这意味着开源库经常逃避安全测试和代码审查，这会使得缺陷和安全漏洞可以在基础层嵌入产品当中。

企业可以采取一些措施来保护开源代码的安全性，如使用SCA工具来扫描所有的开源库;预先构建安全性以在基础级别保护开源代码。应用安全控制，让工程团队进行测试，进行代码审查，并通过攻击者角度的行为分析来减轻威胁。

预先构建安全性以保护基础级别的开源代码。应用安全控制，让工程团队进行测试，进行代码审查，并使用以攻击者为中心的行为分析来缓解威胁。

自研代码安全性

Forrester首席分析师Condo曾表示，企业需要在软件开发的早期关注安全问题。除了要确定开源依赖项带来安全问题并将其排除在外，同样要注意的是，在自研代码中存在的安全漏洞一样需要及时检测 静态代码安全和修正缺陷。

数据显示，在软件测试、发布阶段纠正缺陷的成本是编码阶段发现并纠正缺陷的成本的15-90倍，如果在交付用户之后才发现并解决缺陷，这个数字将达到50-200倍。因此，在编码实现阶段发现并解决尽可能多的缺陷，能够极大降低缺陷管理成本，据相关统计数字估计，这个成本至少可以降低1/3。

Condo表示，在软件开发初期不够关注静态代码及开源组件的安全，就会制造更多的技术债务和安全问题，将不得不以更昂贵的方式处理下游问题。

安全应该成为整个软件开发链的一部分，诸如如何更安全的开发软件、保护API安全和数据安全，并建立安全相应机制。