开源的增长采用增加了安全漏洞的数量

物联网的开源

不断扩大的物联网空间，也不例外的是广泛的开源集成。事实上，嵌入式Linux是最好的物联网操作系统。Linux和邻近的开源组件用于操作系统、网络平台、应用程序和物联网固件。这一趋势只会继续增长，因为通过使用开源，这一领域及其他领域的开发人员可以降低组装成本并快速添加创新——节省最初所需的开发时间数月或数年。

软件漏洞

软件代码是专有还是开源，它是安全漏洞。开源的支持者争辩说，代码的可访问性和透明度允许“好人” - 企业质量保证团队，白帽黑客和开源项目组 - 找到更快的错误。

另一方面，批评人士认为，检查代码的攻击者多于防御者，这导致了更高的漏洞利用事件的净效应。无论哪种情况，开源社区都非常擅长解决漏洞问题。一旦发现了安全风险，社区将迅速编录并为这些漏洞提供补丁。

开源软件漏洞数量和范围的增长

尽管它已经有惊人的采用率，但开发和共享的开放源代码比以往任何时候都多。Linux基金会估计已经有超过310亿行代码被提交给了开源存储库。但是，随着开发和共享代码行数的增加，报告的漏洞数量也在增加。

漏洞的三种方式是动态扩展的

报告的漏洞数量正在上升。更多的代码开发本质上意味着更多无意中产生的安全漏洞。美国政府也一直在跟踪这一问题，通过其赞助的共同脆弱性和暴露(CVE)名单和国家脆弱性数据库(NVD)。2017年，CVE名单报告了8000多个新增加的漏洞。这是一个新的记录。

进一步复杂化问题是，良好的开源代码可以以多种不同的方式使用 - 跨越不同类型的应用。但是，当“良好”的开源代码包含安全漏洞时，集成代码的潜在大量的平台和软件应用程序变得容易被黑客攻击。

使这个问题更加复杂的是，代码中可能隐藏着已知的安全漏洞。因此，用户不知道在他们的代码中rest安全威胁正在等待黑客攻击。那么，这些已知的漏洞是如何隐藏在使用开源的应用程序、平台和设备中并蔓延开来的呢?

在没有安全漏洞的情况下可用的更新版本的开源组件，在内部软件开发团队和第三方开发人员将在内部开发和外部源代码中有效跟踪所有开源软件组件。

这些挑战部分原因是软件开发和采购模式，由此开发团队通常以二进制格式收到第三方软件。

了解您的代码

开发、安全和软件配置团队可以做到使用二进制代码扫描器利用代码指纹识别。这些工具从要检查的二进制文件中提取“指纹”，然后将它们与从众所周知的开源存储库中托管的开源组件收集的指纹进行比较。一旦通过此指纹匹配识别组件及其版本，开发和安全团队可以轻松找到与来自漏洞数据库相关联的已知安全漏洞，如NVD。

腾出时间来解决漏洞

随着工程团队开发新版本的软件，它们被警告到需要修补的潜在安全漏洞。不幸的是，软件开发行业已经表现出一种促进脆弱性修补的弱势优先级。这种缺乏紧迫性可能会将补丁推向后来的软件版本，具有非常不常见的实时补丁管理。这种模型导致已知的安全漏洞在很大一段时间内不会被删除，进一步加剧了公司的脆弱性。

开源采纳并将继续产生惊人的创新。但是，代码中越来越多的安全漏洞可能会妨碍其采用和创新率。软件开发人员，分销商和用户可以通过了解其代码，找到缺陷并​​积极地掌握解决它们的步骤来中和这些漏洞所带来的威胁。

所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者，不一定能够传达物联盟议程的思想。