【七夕节特刊】开源世界里的爱情保卫战
今天七夕节、牛郎织女天仙配
咱就应个景儿
聊聊 迷宫 爱情
天下大事,分久必合,合久必婚!
开源安全世界里 也不例外
正如Dev(开发)、Ops(运维),
两个看似八竿子打不着的 单词
硬生生绑成了一对
天造地设的CP:
Dev-Ops
此后,王八看绿豆,看对眼了的
Dev和Ops坠入了爱河,一发不可收拾
正所谓,情人眼里出西施
魂萦梦绕难自持
问世间情为何物
直教生死相许
可这对神仙眷侣三天两头一个劲儿的
撒狗粮,秀恩爱,不定期私奔
见天黏糊在一块堆儿,忒招人恨
这桩人类高质量打情骂俏的婚姻
吸引了“隔壁老王”(代码漏洞)的关注
“海王”、“渣男”、“前任”、“备胎”个个
也都虎视眈眈、跃跃欲试
眼看就要被搅黄之际
婆婆(Sec)占出来了,夹在中间
挽救了爱河中两位情痴
变成了:Dev-Sec-Ops !
开发+安全+运维
其实,Dev圈成立早期那也是有队伍的:
Unix社区共享
1984年,一个叫Richard Stallman的
小伙为开发圈提了个新概念:
“枪杆子里面出开源”,
眼瞧着饼画大了,干吃噎得慌,
顺便来了一招
吃烙饼卷炸丸子---架枪往里打
于是“GUN”就变成了“GNU”
拉开了开源软件的序幕
直到2008年的GitHub
一举成为了开源生态新世纪的“弄潮”
并参加了那一年的“非诚勿扰”
男嘉宾介绍:有请吉哈布(GitHub),24岁,
开源代码库平台CEO
爱情宣言:只要我对你表白,你就为我亮灯
择偶标准:开发与破坏是一场修行,谁动感情谁完蛋
欢迎24位,美丽的单身“黑帽”女嘉宾,请亮灯
经过三轮的互相了解,
还有四盏为吉哈布留的灯
分别是
3号OpenSSL水牢漏洞女嘉宾
7号心脏滴血女嘉宾
12号Equifax女嘉宾和
19号Gmail账号泄露女嘉宾
眼看着骨骼清奇,天赋异禀的吉哈布
就要被四大“红颜”祸了水
“准婆婆” 拍马赶到
看出了“海王”们的真面目
上演了一出
“慧眼识刁媳”的基操
“想当年,俺老娘也不是吃素的,
不 EMO 的说”
我组乐队的时候你们都还是“细胞”呢
OpenSSL水牢漏洞女嘉宾
我的吉布,我来了
开源苦短
必须性感
39分钟前
♡ 木兰 , BSD,MIT
心脏滴血:真·不要脸!
0day:66666
SSL回复0day:基操 勿6 皆坐~
Equifax:如果你有你头像那么美,我就马上退出!!!
心脏滴血女嘉宾
吉哈布,我的小心肝,心脏为你噼里啪啦的乱跳,别说话,吻我……
36分钟前
♡LGPL, MPL,蜂巢,小bug,Log4j2
unix:你这蛇蝎!
小yuan:你这戏精!
apache:你这海王!
OGNL:阿姨,带带我~
PoC回复OGNL:高质量男性哦
Equifax女嘉宾
心动,从这一刻开始,小布家里8套房,不亮灯怎么当新娘!
天涯海角·你的心里
18分钟前
♡ OGNL,PoC,RCE,Seirios,HTTPd
Gmail账号泄露女嘉宾
别看小布年少轻狂,搞定他还得看我海王!
16分钟前
♡PrintNightmare ,VMware Cloud Foundation,Exchange
Solr:心机婊
江湖你 左姨
↓↓↓
儿媳啊儿媳
你是真的皮
害的我儿眼迷离
幸亏俺有经验,将安全左移
想着嫁入豪门 水如鱼
还得江湖 你左姨
3分钟前
♡ 木兰 , BSD,MIT,GLP
OpenSSL:左姨!
心脏滴血:左姨!
SSL回复心脏滴血:你复读机吗~
Equifax:左姨!
Gmail账号泄露:妈!左姨=妈,妈=左姨!
Equifax回复Gmail账号泄露:还是你会聊~
Black Duck 麻麻
不要迷恋吉哈布哥,他的麻麻才是传说!
世上只有妈妈好
黑鸭子乐队
10小时前 QQ音乐
吉哈布
幸亏俺有个搞刑侦的“妈”,秒了这帮高段位的白莲花,保住了“家底儿”没网外搭
9小时前
♡openTEKr,open sources
Gitee:七夕节回去煮顿饭给左姨吃呀~
因此,开源软件安全及开源软件供应链安全风险已经成为企业安全战略中的重要挑战,开源安全治理刻不容缓,远在东方的“阿中哥”深刻意识到开源软件开发中安全的重要性,在开源安全治理上和规范DevSecOps流程上兼收并蓄,大力发展开源生态的关键基础设施,出现了共创开源、Trustie、OSChina、CSDN、Gitee(码云)等基础设施平台,在这条赛道之上实现“弯道超车”。在行业组织层面,绿色计算产业联盟于2016年正式成立,开放原子基金会于2020年成立。在企业层面,华为、阿里巴巴、小米等积极参与开源,形成了不同的开源商业模式。据信通院开源生态白皮书显示,我国互联网、金融、软件和信息技术服务行业是开源服务企业主要的服务对象,开源服务企业对互联网服务的占比最高,约为 40%,其次是金融业、服务软件和信息技术行业,达到 30%以上。开源开发模式的开放性和透明性有助于快速聚集大众智慧、加速生态发展,并可为信息技术的产品溯源和系统可信评估提供新的解决途径,对我国信息基础设施安全、产业安全、数据安全具有重大意义。
开源中国
因为有了开源路,今生还要更忙碌。在百年未有之大变局的时代机遇下,唯有踔厉奋发,开辟安全鸿蒙,只为开源所钟。
8小时前
♡小源源, Trustie,OSChina,CSDN
《2022年开源安全和风险分析》报告表明,开源许可证冲突和漏洞风险有所下降,但80%的被审代码库中包含未更新开源组件。近期某阿的fastjson被攻击事件屡见不鲜,层出不穷。黑客利用反序列化远程代码执行漏洞,绕过auto Type,直接远程执行任意命令攻击服务器,着实让人心里头“嗷啕”。因此,开源安全管理机制任重道远,需要专业的安全开发团队维护,在每一个开发运维环节警惕“安史之乱”,让开源真正成为国家顶层设计的重要组成部分。
在包容开源软件开发开放性和透明性的同时,快速响应检测敏捷安全策略,布局开源安全核心技术,凝聚同仁自主创新研发智慧在核心领域掌握核心技术,才能在关键时刻不被“开后门”、“卡脖子”。
吉哈布
咱圈里不仅警惕“非诚勿扰”拦不住,啥“非常完美”、“百里挑一”、“全城热恋”、“我们约会吧”这些潜在社交局也得打起百分百精神...
2小时前
沈开源
“金风玉露一相逢,便胜却人间无数”。我不想做“小趴菜”,我想要“真爱”。
7小时前
蜂巢
“好白菜都让猪拱了,这世道,我这朵鲜花,都找不着合适的牛粪,看我召唤地狱恶魔,来他个鸠占鹊巢”...
7小时前
今年4月份,CIA代号“蜂巢”恶意代码攻击控制平台被曝光。国家计算机病毒应急处理中心报告指出,只要包含美国公司提供的软硬件,就极有可能被内嵌各类的“后门程序”,从而成为美国政府网络攻击的目标。在中美贸易摩擦日益复杂的局势下,一旦美国利用开源软件中的恶意代码、病毒、后门等对我国进行监视或攻击,将使我国信息安全遭受致命打击。
蜂巢
我来了,我来了,作为零号携带者的我,带着新款病毒的向你款款走来了...
6小时前
♡0day,蜜罐
沈开源
“时间差的暧昧总是让人受委屈,这种不做婚检的“一夜情”,都是耍流氓,这活我不接。
5小时前
♡ DevOps,Open License
因此,开源软件供应链“卡脖子”事件频频发生,加之俄乌冲突蔓延到开源领域,粉碎了“开源无国界”的假象,也给中国敲响了警钟,开源软件供应链安全问题值得深思。
SCA婆婆
古人云“父母之命媒妁之言”,真是言之有理。听妈妈的话,别让她受伤!人生大事,还得俺“老家儿”说了算!
4小时前
♡SSPL ,SCA,snyk,javascript,Docker
,SBOM
Sec丈母娘
这年头,彩不彩礼的都无所谓,重要的两人好好过小日子,俺老婆子时不常的做两床被子送过去,将同床异梦扼杀在床单里,她亲家母。
5小时前
沈开源
“你有你的河东吼,俺有俺的丈母娘!。
3小时前
面对当前国内外复杂多样的开源项目形势,要尽快引入开源安全合规性要求,建立DevScaOps流程。把开源治理能力、软件成分分析能力与开源技术引入、开源技术选型、开源风险评估、开源风险检查、开源治理左移、威胁情报推送等开源治理环节进行结合,将流程、制度、产品、技术、服务融入到了软件开发全生命周期管理中,形成了系统的开源治理与软件供应链安全矩阵体系,加强开源项目维护者对代码安全质量的重视程度和安全响应检测机制。加大专业人力在对运维团队的安全维护成本,发现并解决修复开发运维进程中的一切风险漏洞。并在规范开源代码使用的开源许可证加以产权标准规范机制,在政策制定、政府采购、技术指导、平台支撑等方面全方位推动,对开源软件的成分、知识产权、漏洞等信息做到未雨绸缪,以应对极端情况下的开源软件对我国带来的威胁。
从架构上做好纵深防御,做好开源软件代码审查风险监测,形成开源资产管理清单。软件开发过程中海量应用的第三方组件暗含诸多没有安全保障的的软件供应链或调用链。供应链中任何一个薄弱的环节都可能成为一个接入点导致软件被攻击。所以,安全人员要足够的分析,及时修复或替换清除存在问题的开源软件,提高响应速度和解决问题的效率。
管“大事”的婆婆
“亲家母,最近咱俩先别见呢,开源威胁情报机制亟待出台,咱俩一见面就“婆婆妈妈”啦。
2小时前
所以,在如此严峻形势下,必须集中力量在关键处理软件成分分析、基础软件等具有国际竞争力的关键核心技术领域攻关,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,构建安全可控的底层信息技术体系,占领全球技术创新的竞争高地,保障关键信息基础设施的安全和完善。
在开源世界里爱情的亲密维系中,需要"月老”、“阿芙洛狄忒”这样掌管爱情的神来帮助,修复大量散布在互联网上的、碎片化的开源软件风险信息,深度预警未来可能会发生的威胁,做好长期监测坏人威胁态势预警,提出深度技术分析和防御建议,远离“隔壁老王”,“海王海后”这样的漏洞,巩固筑牢爱情婚姻保卫战。
生命诚可贵
爱情价更高
若为安全故
万事皆可抛
因为,开源安全生态也需要这样“管大事”的“婆婆”与“丈母娘”来把把关。正如深耕开源风险治理领域多年的棱镜七彩一样,以“证婚人”和“裁判员”的人设引领风险治理与软件供应链安全的风向。
在开源风险治理江湖,棱镜七彩以开源数据与软件成分分析为核心,软件供应链风险治理需求为牵引,开展开源安全与合规治理、信创代码自主率测评鉴定、软件供应链风险评估等业务,率先提出了DevSCAOps创新理念,把开源治理能力、软件成分分析能力与开源技术引入、开源技术选型、开源风险评估、开源风险检查、开源治理左移、威胁情报推送等开源治理环节进行结合,将流程、制度、产品、技术、服务融入到了软件开发全生命周期管理中,形成了系统的开源治理与软件供应链安全矩阵体系,定义了敏捷高效的开源威胁检测与响应处理机制。凭借8年累积,棱镜七彩已拥有国内最大的开源知识库,收录开源项目500万+,开源数据9000W+,总容量超过200TB,涵盖代码托管平台、开源基金会等全球各个平台。通过公共漏洞库、安全漏洞情报中心、社区等多种漏洞渠道,收录安全漏洞25W+,开源漏洞6W+。收录主流OSI与FSF认证许可证200+,许可证库总数量超过1700条。
旗下产品FossCheck已成为国内软件成分分析(SCA)的权威工具,广泛应用于各大检测认证机构,包括:中国信息安全测评中心、国家工业信息安全发展研究中心、工业和信息化部电子第五研究所、中国网络安全审查技术与认证中心、中国信通院、中国电子信息产业发展研究院(赛迪研究院)、中国电子技术标准化研究院等。作为自主可控测评工具,全面应用在信创领域。服务包括:阿里云、中兴通讯、浪潮、统信软件、翰高软件、南大通用、东方通、方正国际、优炫软件等众多信创头部客户。开源治理衍生升级产品“全家桶”开发套件吸收了Fosseye、Fosscheck、Fosslicense三款产品核心的能力,基于SCA发现并跟踪所有开源组件,赋能DevOps流程,形成全面的DevSCAOps生命周期解决方案,已成为科技企业高度认可的开源治理工具,全面应用于:滴滴、商汤科技、TIDB、长城汽车等众多科技企业客户。未来,棱镜七彩将继续引领开源治理与软件供应链安全的发展方向,为构建更加安全、开放、共享、协同的开源生态而贡献力量。棱镜洞鉴治理,七彩映射开源。棱镜七彩,您值得信赖的开源治理专家。