IOT公司在整个组织的某些级别监控违规行为。但是,今天的开放源软件(OSS)和产品中的第三方软件更深入。 2017年400家IOT和软件公司调查, 开源风险 - 事实或虚构? 在这个重要的话题上避免了额外的光线。调查发现:

  • 只有37%的人表示,他们的公司有开源收购或使用的使用政策。 43%的人说他们没有。 19%不知道。
  • 39%的受访者表示,他们公司内部没有人负责开源合规 - 或者他们不知道是谁

此数据说明了IOT公司的操作差距 - 没有基础架构到位了解OSS使用的范围,监控风险并关闭任何潜在的漏洞。

缺乏结构导致Equifax问题

OSS社区于2017年3月7日宣布涉嫌漏洞以及补丁。但是,贴片没有立即申请,而且在7月之前没有发现。结果-14300万消费者暴露,诉讼和对声誉的显着负面影响。

软件Controls at all levels of development lifecycle

IOT公司需要需要软件控件。该过程首先在软件开发周期的所有阶段实施保护机制,并且实现编码期间做出的决策具有更大的组织影响。

  • 要求和用户界面定义阶段:确定哪些功能需要OSS或第三方使用。
  • 编码阶段:在添加OSS或第三方代码之前,在风险和合规性上创建一个过程。
  • 补丁管理阶段:仔细审核任何OSS或第三方代码,该代码提供了快速修复问题。

分析您产品的软件组件

从历史上看,硬件一直是IOT公司的焦点。随着越来越多的软件在幕后运行,现在是时候分析有什么,是什么是源头和管理它所需的内容。一个   OSS审计  是一个很棒的地方。

创建OSS使用和管理培训

OSS使用通常在幕后。主要利益攸关方和发展团队需要在可能的风险和纪律流程使用OSS的影响。该组织应进行对齐并致力于正式的OSS方法。

制定审查委员会

工程,法律,IT和管理利益相关者加入武力创建一个强大的合规团队,通常被称为开源审查委员会(OSRB)。

定义正式的OSS安全战略和流程

要真正获得所需的影响,请记录每个人都将遵循的程序,包括:

  • 查看您正在使用的代码。检查多个阶段使用的内容和不同的代码级别。
  • 要求您的外包伙伴遵循审计流程和文件合规
  • 定义详细的审计跟踪,以便轻松查找漏洞并修复它们
  • 为客户和合作伙伴创建第三方材料清单。期待您的软件供应商也是如此。

探索软件成分分析(SCA)技术
大多数OSS违规攻击了软件应用层。这意味着典型的入侵检测,防火墙,基于Web的身份验证和身份管理系统不符合保护需求。扫描技术标识正在使用哪些源库,隐藏的第三方库即将到来,这可能会造成风险,并且没有适当的归因在没有适当的归因的情况下悄悄地陷入困境。

不要是下一计划,扫描和保护

通过积极的规划,物联网公司可以从Equifax和Heartbled发生的事情中学习,并体验OSS的胜利,风险最小。安全并保护您的IP和保护 软件Composition Analysis.

 

Source://blogs.flexera.com