代码安全和安全开发是信息安全的源头,也是最重要的环节,但是随着开源组件的流行,开源组件漏洞正在对安全开发构成广泛威胁。随着敏捷开发和开源软件的流行,开源组件如今是开发者的宠儿,研究显示如今一个软件中平均75%的软件代码都来自开源组件!但这些开源组件中的漏洞也带来了巨大的安全风险。
Veracode 最新发布的 2017 年软件安全报告显示,88% 的 Java 应用包含至少一个含有漏洞的组件,容易遭受攻击。而且由于组件(包括开源组件)往往被大量应用复用,一个组件的漏洞被挖掘利用,可导致数以千计的使用该组件的应用面临被攻击风险。而只有不到28%的企业会对软件组件安全性进行常规审查。 事实上,过去 12 个月中对多个 Java 应用的回报丰厚的攻击,根源都是流行开源商业组件中的漏洞所致。其中一个典型的例子是今年3月份爆出的 Struts-Shock 漏洞,根据分析,使用 Apache Struts 2 代码库的Java 程序中,68% 都在使用一个含有远程代码执行漏洞(RCE)的版本,这直接导致 3500 万个网站面临攻击风险。 NetBSD 的团队发布了他们的第一个代码片段来实现 64 位 AMD 处理器的内核 ASLR - 地址空间布局随机化。KASLR 版本随机将 NetBSD 内核加载到内存中,为内核提供与 ASLR 提供给应用程序相同的安全保护。
随机代码的内存位置使得诸如缓冲区溢出之类的错误类更难利用,因为攻击者不能轻易预测(并访问)错误所暴露的内存位置。开发人员 Maxime Villard 解释说,目前的实现在引导程序和内核之间放置了一个专门的内核“prekern”。 “内核被编译为具有 GENERIC_KASLR 配置文件的原始库,而 prekern 被编译为静态二进制文件。当机器启动时,引导程序将跳入 prekern。prekern 将内核以随机虚拟地址(VA)重新定位,然后跳转到其中。最后,内核执行一些清理,并正常执行。” Villard 补充说,实现还不够完整。例如,内核放在 prekern 的地方,它都位于连续的内存块中。这也确立未来的发展方向,主要是:独立的内核部分;修改几个内核入口点,不会将内核地址泄露给用户界面;随机内核堆(现在仍然是静态的)具体情况,请大家关注本次专辑…… Apache软件基金会宣布,Apache PredictionIO正从Apache孵化器中脱胎而出,成为顶级项目。这个消息标志着项目进展的一个重要里程碑。Apache PredictionIO是一个开源机器学习服务。它旨在帮助开发人员和数据科学家为机器学习任务创建预测引擎和服务。
Apache PredictionIO副总裁Donald Szeto表示:“PredictionIO的开始是通过使用由Apache和开源项目提供的一整套经过验证的技术,通过模板进行高度定制,从而使机器学习普及。随着越来越多的用户和开发者社区提供宝贵的反馈和贡献,推动了项目在孵化阶段的发展。为此我们感到十分兴奋,并期待在社区的帮助下继续实施项目的目标。” PredictionIO在成立自己的公司后,致力于简化机器学习技术的发展。该公司于2016年被Salesforce收购,去年夏天,该公司的开放源代码捐赠给了Apache软件基金会。 该项目具有构建和部署作为Web服务的预测引擎的能力,实时响应动态查询,系统地评估和调整多个引擎变体,统一来自多个平台的数据,并加快机器学习建模。 |
