日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

Apache Web 服務器的主要開發人員布萊恩·貝倫多夫（Brian Behlendorf）近日發布文章，呼吁多個開源基金會緊密合作，防止 Log4Shell 此類問題再次發生。文章中提及了目前開源領域安全工作資源不足，在制定標準和要求以減少重大漏洞的機會方面受到束縛，并提出了幾個建議來減輕安全風險。

圖片來自于 Flickr

為防止 Log4Shell 此類問題再次發生，Brian Behlendorf 倡議開源軟件基金會們可以做以下幾件事，以減輕安全風險：

● 建立一個組織范圍內的安全團隊，接收和分流漏洞報告，以及協調對其他受影響項目和組織的回應和披露。

● 通過CI工具執行頻繁的安全掃描，以檢測軟件中的未知漏洞并識別依賴關系中的已知漏洞。

● 對關鍵代碼進行不定期的外部安全審計，特別是在新的重大發布之前。

● 要求項目使用測試框架，并確保較高的代碼覆蓋率，這樣就可以阻止沒有測試的功能，并主動淘汰未被使用的功能。

● 要求項目刪除已廢棄或易受影響的依賴關系。(一些Apache項目沒有受到Log4j v2 CVE的影響，因為他們仍在使用Log4j v1，該版本有已知的弱點，并且自2015年以來沒有得到更新！)

● 鼓勵并最終要求使用SBOM格式，如SPDX，以幫助每個人更容易和快速地跟蹤依賴關系，從而使漏洞更容易被發現和修復。

● 鼓勵并最終要求維護者展示對安全軟件開發實踐基礎知識的熟悉程度。

其中的許多內容都被納入了CII最佳實踐徽章中，這是將這些內容編入客觀可比的指標的首次嘗試之一，這項工作現在已經轉移到OpenSSF。OpenSSF還為開發者發布了一個關于如何開發安全軟件的免費課程，而SPDX最近也被公布為ISO標準。

【來源：希恩貝塔】