中文亚洲精品无码_熟女乱子伦免费_人人超碰人人爱国产_亚洲熟妇女综合网

當(dāng)前位置: 首頁(yè) > news >正文

網(wǎng)頁(yè)制作與網(wǎng)站建設(shè)試題如何優(yōu)化關(guān)鍵詞

網(wǎng)頁(yè)制作與網(wǎng)站建設(shè)試題,如何優(yōu)化關(guān)鍵詞,學(xué)生個(gè)人網(wǎng)站模板,網(wǎng)站平臺(tái)免費(fèi)本文來(lái)自: 小馬哥 極狐(GitLab) 技術(shù)布道師 開源許可證是開源軟件的法律武器,是第三方正確使用開源軟件的安全合規(guī)依據(jù)。 根據(jù) Linux 發(fā)布的 SBOM 報(bào)告顯示,98% 的企業(yè)都在使用開源軟件(中文版報(bào)告詳情)。隨著開源使用…

本文來(lái)自:

小馬哥 極狐(GitLab) 技術(shù)布道師

開源許可證是開源軟件的法律武器,是第三方正確使用開源軟件的安全合規(guī)依據(jù)。

根據(jù) Linux 發(fā)布的 SBOM 報(bào)告顯示,98% 的企業(yè)都在使用開源軟件(中文版報(bào)告詳情)。隨著開源使用率持續(xù)提升,企業(yè)必須要重視許可證安全合規(guī)問(wèn)題,因?yàn)槠渲苯雨P(guān)乎企業(yè)品牌,使用不當(dāng)可能導(dǎo)致經(jīng)濟(jì)損失。

根據(jù)?OSI 官網(wǎng)顯示?,由 OSI Approved 的許可證就多達(dá) 100+ 多種,這還不包括一些企業(yè)/組織自定義的開源軟件許可證。另外,不同許可證之間的兼容性也是一個(gè)很復(fù)雜的問(wèn)題。

圖片來(lái)源:如何選擇開源許可證? - 阮一峰的網(wǎng)絡(luò)日志

正是由于這種開源軟件許可證的復(fù)雜性,讓企業(yè)在使用開源軟件時(shí),違反許可證安全合規(guī)的問(wèn)題時(shí)有發(fā)生。

違反許可證合規(guī)的那些事


國(guó)外事件

2020 年,CoKinetic Systems Corporation 公司對(duì) Panasonic Avionics Corporation 公司發(fā)起訴訟,要求索賠 1 億美元。原因是 CoKinetic 公司指控 Panasonic 違反了 GPL v2 協(xié)議。

根據(jù) CoKinetic 供述的法律文件,其認(rèn)為 Panasonic 的機(jī)上娛樂(lè)設(shè)施硬件使用了基于 Linux 的操作系統(tǒng),而 Linux 操作系統(tǒng)是以 GPL 協(xié)議分發(fā)的,GPL 的特殊性在于當(dāng)軟件使用了 GPL 協(xié)議的組件時(shí),該軟件本身就必須遵從 GPL 協(xié)議規(guī)定,對(duì)源碼進(jìn)行公開。但 Panasonic 卻拒絕開放其操作系統(tǒng)的源碼,以此阻止競(jìng)爭(zhēng)對(duì)手開發(fā)基于機(jī)上娛樂(lè)硬件的軟件。關(guān)于此事件的詳細(xì)信息可以查看?The $100 Million Court Case for Open Source License Compliance。

上述例子中,兩家商業(yè)公司走向法律訴訟的直接原因就是開源軟件許可證安全合規(guī)問(wèn)題。

國(guó)內(nèi)事件

2020 年,國(guó)內(nèi)某云廠商使用了某 Top APM 開源項(xiàng)目,但是沒(méi)有遵循該開源項(xiàng)目的 Apache ?License Version 2.0 協(xié)議,在產(chǎn)品中對(duì)于該項(xiàng)目的使用進(jìn)行相關(guān)聲明,因此收到了 Apache 基金會(huì)關(guān)于 Open Source License Violation 郵件。事件發(fā)生后,該云廠商和該 APM 項(xiàng)目進(jìn)行溝通并做了相應(yīng)調(diào)整。關(guān)于該事件的詳細(xì)經(jīng)過(guò)可以查看國(guó)內(nèi)某內(nèi)容平臺(tái)對(duì)于此事件的報(bào)道。這也是一起典型的開源許可證安全合規(guī)事件。

上述例子只是眾多違反許可證合規(guī)事件中的冰山一角。

在開源滲透率如此之高的今天,沒(méi)有一個(gè)企業(yè)可以完全 “隔離” 開源軟件。如何保障企業(yè)在研發(fā)過(guò)程中安全合規(guī)使用許可證,是企業(yè)實(shí)現(xiàn)穩(wěn)健發(fā)展不容忽視的問(wèn)題。

企業(yè)如何實(shí)現(xiàn)許可證安全合規(guī)?


如開篇所說(shuō),許可證本身繁瑣復(fù)雜,因此,安全合規(guī)使用許可證也是一件極其復(fù)雜的事情,需要從文化構(gòu)建、流程制定、工具選型等方面入手。

文化構(gòu)建

許可證安全合規(guī)屬于安全范疇,在提倡 “人人為軟件研發(fā)安全負(fù)責(zé)” 的今天,需要構(gòu)建企業(yè)安全文化。例如通過(guò)安全培訓(xùn),讓軟件研發(fā)相關(guān)人員建立起對(duì)于軟件許可證的基本認(rèn)知,明白違反許可證會(huì)危害企業(yè)和每個(gè)人的利益。

同時(shí),文化需要通過(guò)流程來(lái)避免人為疏忽。

流程制定

流程制定是實(shí)現(xiàn)許可證安全合規(guī)的關(guān)鍵。企業(yè)內(nèi)部需要根據(jù)自身情況制定應(yīng)對(duì)許可證安全合規(guī)的響應(yīng)流程,諸如:

  • 明確對(duì)應(yīng)不同許可證應(yīng)該采取何種策略;

  • 如何自動(dòng)檢測(cè)軟件代碼變更所帶來(lái)的許可證合規(guī)風(fēng)險(xiǎn);

  • 一旦發(fā)生違反許可證合規(guī)事件,如何及時(shí)、正確應(yīng)對(duì),避免進(jìn)一步發(fā)酵等。

流程制定需要跨職能團(tuán)隊(duì)的協(xié)作,比如 OSPO、法務(wù)、DevOps 等部門和人員都需要一起協(xié)作制定出符合企業(yè)自身發(fā)展的安全合規(guī)流程。當(dāng)然,好流程也需要工具協(xié)助落地。

工具選型

市面上用于保障許可證安全合規(guī)的工具很多,選擇適合企業(yè)自身發(fā)展的工具是關(guān)鍵。但有一點(diǎn)需要明確:工具是手段而不是目的。使用工具是為了支撐安全合規(guī)流程能夠自動(dòng)、快速執(zhí)行,不需要將大量精力花費(fèi)在工具選擇、安裝、優(yōu)化、運(yùn)維等方面上。對(duì)于工具選擇維度,應(yīng)該從以下三個(gè)方面入手:

  • 易用性:學(xué)習(xí)成本低;

  • 可擴(kuò)展性:方便和其他工具進(jìn)行集成,打通數(shù)據(jù)流;

  • 安全性:工具自身的安全性足夠高。

最終達(dá)到以工具支撐流程,以流程助力構(gòu)建 “人人為安全負(fù)責(zé)” 的企業(yè)文化。

極狐GitLab 許可證安全合規(guī)功能優(yōu)勢(shì)


許可證合規(guī)(License Compliance)是極狐GitLab?DevSecOps 九大功能之一。其他幾個(gè)分別為:依賴項(xiàng)掃描、SAST(包括 IaC 掃描)、DAST、敏感信息檢測(cè)、容器鏡像掃描、模糊測(cè)試(包括基于 API 與 Code Coverage 兩種模糊測(cè)試)。

許可證合規(guī)功能在 11.0 版本引入,主要用來(lái)檢測(cè)應(yīng)用程序引入的外部依賴的許可證是否和自身的許可證策略相兼容,以此來(lái)安全合規(guī)的使用外部依賴,避免發(fā)生違反許可證合規(guī)的事件,給企業(yè)帶來(lái)不必要的麻煩。

極狐GitLab 許可證安全合規(guī)功能具有以下優(yōu)勢(shì):

? 一體化 DevSecOps 平臺(tái)

許可證安全合規(guī)功能和源代碼托管、CI/CD 無(wú)縫 “集成”。當(dāng)有代碼變更的時(shí)候,嵌入到 CI/CD 中的許可證安全掃描功能會(huì)自動(dòng)進(jìn)行許可證信息掃描,并最終展示到 Merge Request 中。一切操作都在同一個(gè)平臺(tái)上進(jìn)行,真正實(shí)現(xiàn)了安全測(cè)試手段 “左移” 與安全數(shù)據(jù) “左移”

同時(shí),一體化 DevSecOps 平臺(tái)讓研發(fā)、安全、測(cè)試人員都基于一個(gè)平臺(tái)協(xié)作,溝通效率大幅提升而成本相應(yīng)降低。

??簡(jiǎn)單易用,配置靈活

極狐GitLab 提供針對(duì)許可證安全合規(guī)的相關(guān)配置,能夠?qū)⑵髽I(yè)自身的許可證安全合規(guī)流程 “映射” 到極狐GitLab 對(duì)應(yīng)功能上,通過(guò)強(qiáng)制配置的方式,讓流程保障安全合規(guī)。諸如:

  • 針對(duì)不同類型的許可證采取不同的使用策略(允許 “寬松型”,拒絕 “嚴(yán)格型”);

  • 配置許可證審核人員,當(dāng)有問(wèn)題出現(xiàn)時(shí),需要一定數(shù)量的審批人來(lái)對(duì)“有問(wèn)題”的許可證進(jìn)行審核。

當(dāng)然,最重要的是,極狐GitLab 許可證合規(guī)功能是可以嵌入到 CI/CD 中,實(shí)現(xiàn)許可證安全合規(guī)的持續(xù)自動(dòng)化掃描,僅需數(shù)行代碼即可完成 CI/CD 配置,而無(wú)需額外安裝、學(xué)習(xí)、配置第三方工具。

??透明性高,追溯性強(qiáng)

許可證掃描信息都展示在 Merge Request 與安全面板中,項(xiàng)目相關(guān)人員均可查看,通過(guò)透明性提升安全性。

此外,審核信息可追溯、可審計(jì),可以從安全掃描結(jié)果回溯到對(duì)應(yīng)的代碼變更,找到“有問(wèn)題”許可證引入的源頭,以及 “有問(wèn)題” 許可證被審核的信息。

極狐GitLab 許可證合規(guī)實(shí)踐


極狐GitLab 許可證合規(guī)功能的實(shí)現(xiàn)原理為:

1.?利用自身的許可證掃描工具進(jìn)行許可證信息掃描,出具許可證報(bào)告,對(duì)比目標(biāo)分支和源分支之間的許可證信息,并將信息展示在 Merge Request 中;

2.?配合安全測(cè)試配置,判斷變更代碼的許可證信息是否符合企業(yè)許可證合規(guī)。

極狐GitLab 許可證合規(guī)掃描功能可以通過(guò)以下三步來(lái)開啟:

配置許可證合規(guī)策略

前文提到了不同的許可證有不同的約束條件,比如 GPL 的 “傳染性” 就讓很多企業(yè)在使用 GPL 協(xié)議的第三方依賴時(shí)很謹(jǐn)慎,甚至禁止使用 GPL 協(xié)議的第三方依賴;而對(duì)于 “寬松型” 的 MIT 協(xié)議則沒(méi)有那么多芥蒂,允許使用這類協(xié)議的第三方依賴包。這種針對(duì)不同許可證采取不同使用策略的方法,是為了確保應(yīng)用程序研發(fā)過(guò)程中,對(duì)于許可證的使用是符合企業(yè)安全合規(guī)要求的。

可在極狐GitLab 的安全面板上,通過(guò)配置來(lái)實(shí)現(xiàn)上述功能:

在每個(gè)項(xiàng)目的安全與合規(guī)(Security & Compliance) → 許可證合規(guī)(License Compliance)?中可以通過(guò)點(diǎn)擊添加許可證策略(Add License Policy)。比如將 “寬松型” 協(xié)議(諸如 MIT、Apache 2.0 等)設(shè)置為允許使用(Allow);而對(duì)于 “嚴(yán)格型” 協(xié)議(諸如 GPL、LGPL、SGPL 等)設(shè)置為拒絕使用(Deny)。

上述配置策略最終會(huì)在 Merge Request 中展現(xiàn)出來(lái),方便研發(fā)、安全等人員查看此次代碼變更引入依賴的許可證信息。

配置許可證準(zhǔn)入規(guī)則

許可證準(zhǔn)入規(guī)則的配置能夠?yàn)榘踩弦?guī)使用許可證額外加一層保障:當(dāng) Merge Request 中出現(xiàn)了拒絕使用的許可證信息,此時(shí)需要有審批人(Approver)來(lái)決定此次代碼變更是否可以合入。如果在經(jīng)過(guò)評(píng)估之后認(rèn)為代碼可以合入,則選擇 “批準(zhǔn)”,否則選擇 “拒絕”。

可以在每個(gè)項(xiàng)目的設(shè)置(Settings)→ 合并請(qǐng)求(Merge Request)→ 合并請(qǐng)求批準(zhǔn)(Merge Request Approve)?中通過(guò)點(diǎn)擊 “啟用”(Enable)來(lái)開啟 License-Check 功能。

在出現(xiàn)的界面中填寫需要核準(zhǔn)的人數(shù)閾值(最少需要幾人同意)與核準(zhǔn)人員即可。

接下來(lái)只需要簡(jiǎn)單配置 CI/CD Pipeline 就可以開啟使用了。

配置 CI/CD Pipeline

僅需兩行代碼即可將極狐GitLab 許可證合規(guī)掃描功能嵌入到極狐GitLab CI/CD 中,代碼如下:

include:-?template:?Security/License-Scanning.gitlab-ci.yml

以檢測(cè) Python 代碼中的許可證為例來(lái)演示整個(gè)過(guò)程。

對(duì)于 Python 代碼中的許可證檢測(cè)是通過(guò) requirements.txt 文件或 Pipfile.lock 文件來(lái)實(shí)現(xiàn)的。

Source Branch 上的 requirements.txt 文件包含如下內(nèi)容:

pycurl==7.45.2??#?LGPL/MIT?協(xié)議

Target Branch 上的 requirements.txt 文件包含如下內(nèi)容:

pytest==7.2.1??????#?MIT?協(xié)議
urllib3==1.26.14???#?MIT?協(xié)議
Jinja2==3.1.2??????#?BSD?License?(BSD-3-Clause)?協(xié)議
flask==2.2.2???????#?BSD?License?(BSD-3-Clause)
requests==2.28.0???#?Apache?Software?License?(Apache?2.0)
rss2email==3.14????#?GPL/GPL?v2/GPL?v3/LGPL
wurlitzer==3.0.3???#?MIT?協(xié)議
pycurl==7.45.2?????#?LGPL/MIT?協(xié)議
Flask-Login==0.6.2?#?MIT?協(xié)議

上述模塊的選擇,只是為了在多種協(xié)議的情況下,演示極狐GitLab 許可證合規(guī)功能。上述模塊的許可證信息來(lái)自 PyPI · The Python Package Index。

接著創(chuàng)建 Merge Request 即可觸發(fā) CI/CD Pipeline,在構(gòu)建成功后可以在 Merge Request 中看到許可證掃描信息:

所有模塊及其依賴的許可證信息都掃描了出來(lái),配合之前配置的許可證合規(guī)策略進(jìn)行了分類展示,上述顯示 Apache License 2.0 和 MIT License 是被允許使用的;而下圖展示的信息顯示 GPL 和 MPL 2.0 是被禁止使用的。

此時(shí)需要審批人員對(duì)于此次許可證掃描結(jié)果做出 “拒絕” 或者 “允許” 的決策。

極狐GitLab 許可證合規(guī)功能能夠幫助研發(fā)團(tuán)隊(duì)在軟件研發(fā)過(guò)程中嚴(yán)格遵守企業(yè)的許可證合規(guī)策略,讓企業(yè)避免因許可證合規(guī)問(wèn)題而造成經(jīng)濟(jì)損失,同時(shí)也能夠以更加安全的方式給客戶提供更加優(yōu)質(zhì)的軟件,提升客戶滿意度。

當(dāng)然,許可證合規(guī)只是保障軟件安全的關(guān)鍵手段之一,需要同時(shí)配合其他安全手段來(lái)為應(yīng)用程序研發(fā)過(guò)程構(gòu)建堅(jiān)固的安全防護(hù)體系。比如極狐GitLab 的其他 DevSecOps 功能。點(diǎn)擊👉獲取更多 DevSecOps 干貨資料。

http://www.risenshineclean.com/news/51985.html

相關(guān)文章:

  • 秦皇島做網(wǎng)站優(yōu)化公司nba最新排名
  • 影視網(wǎng)站建設(shè)教程公司網(wǎng)頁(yè)
  • 國(guó)外比較好的資源網(wǎng)站企業(yè)網(wǎng)站seo診斷報(bào)告
  • 短視頻素材下載網(wǎng)站 免費(fèi)輿情分析
  • 網(wǎng)站如何快速被baud百度一下
  • 網(wǎng)站如何做點(diǎn)擊鏈接地址網(wǎng)絡(luò)推廣是以企業(yè)產(chǎn)品或服務(wù)
  • 彩妝網(wǎng)站模板手機(jī)cpu性能增強(qiáng)軟件
  • 北京專業(yè)建設(shè)網(wǎng)站公司哪家好seo推廣官網(wǎng)
  • 小型電子商務(wù)網(wǎng)站規(guī)劃廊坊關(guān)鍵詞優(yōu)化報(bào)價(jià)
  • 四川長(zhǎng)昕建設(shè)工程有限公司網(wǎng)站友情鏈接怎么連
  • 51ape是誰(shuí)做的網(wǎng)站推廣app最快的方法
  • 長(zhǎng)春市長(zhǎng)春網(wǎng)站建設(shè)網(wǎng)百度免費(fèi)安裝
  • 網(wǎng)站建設(shè)的目標(biāo)是什么 提供了哪些欄目seo崗位是什么意思
  • 互聯(lián)網(wǎng)網(wǎng)站建設(shè)制作中國(guó)最好的網(wǎng)絡(luò)營(yíng)銷公司
  • 客服在線為您服務(wù)廣州網(wǎng)站運(yùn)營(yíng)專業(yè)樂(lè)云seo
  • 做網(wǎng)站哪家公司最好文案代寫收費(fèi)標(biāo)準(zhǔn)
  • 技術(shù)先進(jìn)的網(wǎng)站設(shè)計(jì)制作來(lái)賓seo
  • 門戶網(wǎng)站建設(shè)審批程序網(wǎng)絡(luò)營(yíng)銷的方法包括哪些
  • 有哪些線上做酒店的網(wǎng)站aso優(yōu)化師
  • 如何自己創(chuàng)造網(wǎng)站網(wǎng)站seo需要用到哪些工具
  • 網(wǎng)站怎樣做百度推廣網(wǎng)站建設(shè)是什么工作
  • 成都網(wǎng)站設(shè)計(jì)開發(fā)做得好怎樣做網(wǎng)絡(luò)推廣營(yíng)銷
  • 溫州首頁(yè)網(wǎng)絡(luò)科技有限公司什么建站程序最利于seo
  • 網(wǎng)站怎么做定時(shí)任務(wù)免費(fèi)創(chuàng)建網(wǎng)站的平臺(tái)
  • 網(wǎng)站關(guān)鍵詞的優(yōu)化在哪做比較開放的瀏覽器
  • 中國(guó)建設(shè)行業(yè)網(wǎng)杭州百度人工優(yōu)化
  • 做網(wǎng)站客戶怎么找常用的網(wǎng)絡(luò)推廣手段有哪些
  • 做網(wǎng)站需要域名 域名是啥seo外包網(wǎng)站
  • 汽車門戶網(wǎng)站源碼網(wǎng)頁(yè)開發(fā)公司
  • 東莞seo網(wǎng)站優(yōu)化產(chǎn)品宣傳方式有哪些