Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
耀達電腦 / 鄭郁霖 Jason Cheng
開放或封閉的安全之刃
開源不安,閉源⼼心安?讓我們來來談談這個有趣的資安議題。
⼤大綱
• 安全問題
• 開源軟體
• 閉源軟體
• 如何選擇
• 協助⼯工具
1安全問題
開源,安全?
品質與安全令人頭痛?
試試⼆二分法
程式碼看的⾒見見
不安全
較安全
程式碼看不⾒見見
1
⼤大多由社群維護
不安全
較安全
⼤大多由企業維護
2
修復漏洞洞較慢
不安全
較安全
修復漏洞洞較快
3
2開源軟體
開源軟體
⾃自由軟體
…
錢能解決的問題都不是問題
「問題是沒有錢」
節約⽀支出成本
避免重複開發
介接擴充彈性
⾃自⼰己動⼿手修改
看到原始碼的風險
引⽤用帶來來的風險
漏洞洞修復速度
版本升級問題
貢獻惡惡意程式
3閉源軟體
閉源軟體
專有軟體
商業軟體
…
商業技術⽀支援
保護原始碼
服務與責任
難以⾃自⾏行行修復
不易易查核問題
驗證修復結果較難
⽽而且,
應⽤用程式檢測
計有 96% 採⽤用開源套件
96%
[1] Black Duck 2018 Open Source Security and Risk Analysis
257
平均每個應⽤用
使⽤用 257 個開源套件
[1] Black Duck 2018 Open Source Security and Risk Analysis
57%
程式庫平均
2017 開源碼佔 36%
超過一半!
[1] Black Duck 2018 Open Source Security and Risk Analysis
2018 開源碼佔 57%
75%
開源碼成長
從 2017 ⾄至 2018 年年期間
程式庫的開源套件數量量增
加約 75%
[1] Black Duck 2018 Open Source Security and Risk Analysis
[2] SourceClear The Busy Managers' Guide to Open-Source Security
⼗十年年內,近五億
⼤大勢所趨
結合開源正在改變
⼤大有可為
融入開源正在進⾏行行
4如何選擇
?
重點不在開源或閉源
軟體是⼈人寫的。
⼈人員
策略略
建立管理理制度。
開源套件選擇
提交時間 更更新速度
版本控制 問題追蹤
活躍程度
安全檢測
商業⽀支援
留留意:授權問題
LGPL
GPL AGPL
MIT
BSD
Apache
原始碼完全開放
分享 公益 成就 信⼼心
5協助⼯工具
開源⼯工具
OpenVAS
OpenVAS
OWASP ZAP
OWASP ZAP
w3af
w3af
sqlmap
sqlmap
MobSF
MobSF
Security Code Scan
Security Code Scan
SonarQube
SonarQube
商業⼯工具
Qualys SSL Labs
Qualys SSL Labs
SourceClear
SourceClear
Black Duck Open Hub
Black Duck Open Hub
Coverity Scan
Coverity Scan
OWASP Source Code Analysis Tools
		OWASP Vulnerability Scanning Tools
參
考
Black Duck
2018 Open Source Security and Risk Analysis Report

https://www.blackducksoftware.com/open-source-security-...
謝謝
開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會
開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會
開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會
開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會
開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會
開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會
開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會
開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會
開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會
開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會
開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會
Upcoming SlideShare
Loading in …5
×

開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會

1,542 views

Published on

開源不安,閉源心安?讓我們來談談這個有趣的資安議題。

於國際資訊安全組織台灣高峰會 (TWCSA) 2018 其中 OWASP 系列議程中演說。

Published in: Software
  • Be the first to comment

開放或封閉的安全之刃 [2018/07/13] @國際資訊安全組織台灣高峰會

  1. 1. 耀達電腦 / 鄭郁霖 Jason Cheng 開放或封閉的安全之刃 開源不安,閉源⼼心安?讓我們來來談談這個有趣的資安議題。
  2. 2. ⼤大綱 • 安全問題 • 開源軟體 • 閉源軟體 • 如何選擇 • 協助⼯工具
  3. 3. 1安全問題
  4. 4. 開源,安全?
  5. 5. 品質與安全令人頭痛?
  6. 6. 試試⼆二分法
  7. 7. 程式碼看的⾒見見 不安全 較安全 程式碼看不⾒見見 1
  8. 8. ⼤大多由社群維護 不安全 較安全 ⼤大多由企業維護 2
  9. 9. 修復漏洞洞較慢 不安全 較安全 修復漏洞洞較快 3
  10. 10. 2開源軟體
  11. 11. 開源軟體 ⾃自由軟體 …
  12. 12. 錢能解決的問題都不是問題 「問題是沒有錢」
  13. 13. 節約⽀支出成本
  14. 14. 避免重複開發
  15. 15. 介接擴充彈性
  16. 16. ⾃自⼰己動⼿手修改
  17. 17. 看到原始碼的風險
  18. 18. 引⽤用帶來來的風險
  19. 19. 漏洞洞修復速度
  20. 20. 版本升級問題
  21. 21. 貢獻惡惡意程式
  22. 22. 3閉源軟體
  23. 23. 閉源軟體 專有軟體 商業軟體 …
  24. 24. 商業技術⽀支援
  25. 25. 保護原始碼
  26. 26. 服務與責任
  27. 27. 難以⾃自⾏行行修復
  28. 28. 不易易查核問題
  29. 29. 驗證修復結果較難
  30. 30. ⽽而且,
  31. 31. 應⽤用程式檢測 計有 96% 採⽤用開源套件 96% [1] Black Duck 2018 Open Source Security and Risk Analysis
  32. 32. 257 平均每個應⽤用 使⽤用 257 個開源套件 [1] Black Duck 2018 Open Source Security and Risk Analysis
  33. 33. 57% 程式庫平均 2017 開源碼佔 36% 超過一半! [1] Black Duck 2018 Open Source Security and Risk Analysis 2018 開源碼佔 57%
  34. 34. 75% 開源碼成長 從 2017 ⾄至 2018 年年期間 程式庫的開源套件數量量增 加約 75% [1] Black Duck 2018 Open Source Security and Risk Analysis
  35. 35. [2] SourceClear The Busy Managers' Guide to Open-Source Security ⼗十年年內,近五億
  36. 36. ⼤大勢所趨 結合開源正在改變
  37. 37. ⼤大有可為 融入開源正在進⾏行行
  38. 38. 4如何選擇
  39. 39.
  40. 40. 重點不在開源或閉源
  41. 41. 軟體是⼈人寫的。 ⼈人員
  42. 42. 策略略 建立管理理制度。
  43. 43. 開源套件選擇
  44. 44. 提交時間 更更新速度
  45. 45. 版本控制 問題追蹤
  46. 46. 活躍程度
  47. 47. 安全檢測
  48. 48. 商業⽀支援
  49. 49. 留留意:授權問題 LGPL GPL AGPL MIT BSD Apache
  50. 50. 原始碼完全開放
  51. 51. 分享 公益 成就 信⼼心
  52. 52. 5協助⼯工具
  53. 53. 開源⼯工具
  54. 54. OpenVAS
  55. 55. OpenVAS
  56. 56. OWASP ZAP
  57. 57. OWASP ZAP
  58. 58. w3af
  59. 59. w3af
  60. 60. sqlmap
  61. 61. sqlmap
  62. 62. MobSF
  63. 63. MobSF
  64. 64. Security Code Scan
  65. 65. Security Code Scan
  66. 66. SonarQube
  67. 67. SonarQube
  68. 68. 商業⼯工具
  69. 69. Qualys SSL Labs
  70. 70. Qualys SSL Labs
  71. 71. SourceClear
  72. 72. SourceClear
  73. 73. Black Duck Open Hub
  74. 74. Black Duck Open Hub
  75. 75. Coverity Scan
  76. 76. Coverity Scan
  77. 77. OWASP Source Code Analysis Tools OWASP Vulnerability Scanning Tools
  78. 78. 參 考 Black Duck 2018 Open Source Security and Risk Analysis Report
 https://www.blackducksoftware.com/open-source-security-risk-analysis-2018 1 SourceClear
 The Busy Managers' Guide to Open-Source Security
 https://www.sourceclear.com/resources/the-busy-managers-guide-to-open-source-security/chapter1/ 2
  79. 79. 謝謝

×