如何處理開放原始碼的授權風險?

漏洞並非是使用開放原始碼唯一會遇到的風險。本文中會介紹該如何減少授權相關風險,確保你的團隊在使用開放原始碼開發軟體時能夠符合法律需求。

隨著數位轉型的加速發展,開放原始碼的使用也在爆炸式的成長,這自然是因為它們能夠為開發團隊帶來的速度、靈活性、擴充性和品質。但這也擴大了受攻擊面以及新的風險,如增加法律和智慧財產權相關風險。

開放原始碼一直都受到智慧財產權保護,特別是著作權法。一旦開發人員在製作程式時使用了開放原始碼,他們的組織就有義務滿足相關授權內的條款或條件。這也是為什麼許多轉移到雲端環境一段時間的組織都有開放原始碼法律方面的資源或專職員工。

那為什麼其他企業沒有密切關注其開發團隊對開放原始碼的使用和風險處理呢?讓我們看看一些使用情境。

繼續閱讀

資安長(CISO)該如何挑選資安合作夥伴?

IDC 兩份研究顯示,趨勢科技是資安平台廠商首選,穩坐端點防護與雲端工作負載防護領導者

端點防護與雲端工作負載防護是資安風險管理的兩項關鍵,IDC發表兩份最新獨立報告協助資安長(CISO)思考該如何挑選資安合作夥伴。

對一般 IT 資安或雲端資安採購人員來說,情勢只會更艱難。一場疫情,已經讓許多企業暴露出新的資安漏洞,企業正急於修補這些漏洞,以便在疫情過後迅速恢復成長。然而每年市場上都多出一些新的選擇,但企業在做重大採購的決策時間卻更短。這正是為何今日許多資安長 (CISO) 都希望能將其資安整合至一家產品陣容完整的領導性平台廠商,好讓他們一方面提升企業的防護力並降低成本,另一方面也改善自己的生活品質。

根據 IDC 兩份最新的研究顯示,趨勢科技確實是資安平台廠商的首選。這兩份報告指出,我們在企業端點防護與雲端工作負載防護兩大策略性關鍵領域大幅領先市場。

繼續閱讀

從SolarWinds 資料外洩事件,看管理認證憑證的重要性

SolarWinds 資料外洩事件活生生地證明了機密有多麼脆弱,因為這起攻擊就是利用了強度不足的密碼,而這應該是重要的機密才對。雖然使用一套解決方案來集中保管機密可避免單靠密碼的缺點,但卻衍生出單一資料外洩事件可能導致所有登入憑證和密碼都同時外洩的風險。而這也突顯出機密資料的儲存必須當成金庫來看待。這類金庫的存取管制措施非常重要,最好加入生物特徵辨識或多重認證 (MFA) 機制。

機密管理是確保必要資訊安全、防止資訊落入駭客手中的重要關鍵。本文探討何謂機密,以及如何安全地儲存機密。

本文旨在協助企業認識並認真思考機密管理在今日環境的重要性,因為光是一個密碼遭到外洩就可能導致嚴重的資料外洩事件。隨著越來越多企業工作負載移轉至雲端上執行,像密碼這樣重要的存取資訊也變得日益重要。

機密管理是確保必要資訊安全、防止資訊落入駭客手中的重要關鍵。只要能妥善保管機密,例如密碼和其他認證憑證,理論上就能確保唯有適當人員才能存取重要資產,減少企業遭駭客入侵的機率。然而機密就如同一把雙面刃,尤其是當企業的保密工作做得不夠確實時。

我們曾經在先前的一篇文章探討過供應鏈的一些脆弱環節,而供應鏈上各環節所面臨的一項問題就是:如何建立適當的機密儲存機制。本文將探討有哪些機密需要妥善保護,以及這些機密在資安上所扮演的角色、影響及可能衍生的問題為何。

繼續閱讀

從 SolarWIND 事件思考供應鏈安全的脆弱環節

 

當前最駭人聽聞的 SolarWinds Orion 事件在資安界及一般大眾之間都掀起了不小的聲浪,全世界也因而更加關注所謂的供應鏈攻擊。事實上這類攻擊本身並不算新穎、也早就橫行多年。但所有攻擊都會不斷演化出更高階的手法,而軟體開發供應鏈包含了許多階段,而每個階段都可能遭到襲擊,因此更加危險。

 哪裡是脆弱的環節?

首先,我們先來為「供應鏈」下一個明確的定義,一般所謂的供應鏈是指「一套將產品提供給客戶的流程」。而本文所談是數位世界中產品、也就是軟體,所以我們先來探討軟體開發流程本身。

所有軟體開發人員,不論採用何種開發方法,都必須將一個複雜的專案拆成多個較簡單的工作項目,這樣才能將每個項目定義清楚,並且在問題追蹤系統內將工作項目指派給特定的開發者。接下來,開發者開始撰寫及測試程式碼,完成之再將修改過的程式碼傳送至原始程式碼管理系統 (Source Code Management System, 簡稱SCM)。

Figure.1
圖 1:開發流程示意圖。
繼續閱讀

實體資料中心安全與威脅防範

實體安全對雲端營運的影響或許比您想像的還大


談到資料中心 (Datacenter) 實體安全,或許會讓人聯想到人工陷阱、消防安全門、門鎖、散熱與冷卻系統,很少人會想到資料中心實體安全也需要備援設計。

然而,位於法國史特拉斯堡 (Strasbourg) 的 OVHCloud 資料中心大火,讓這樣的需求活生生地浮上檯面。OVHCloud 資料中心是許許多多企業機構的應用程式、營運環境、基礎架構以及傳統主機共置機房的所在地。今年三月初的一場大火,導致數百萬個網站無法使用,一些政府機構、銀行、商店、新聞媒體的網站都頓時停擺,「.FR」網域幾乎癱瘓了一大半。詳情請參閱:http://travaux.ovh.net/

實體風險帶來數位衝擊

大家都看過火災對實體安全的危害,但這卻並非唯一的威脅。電力的問題,例如突波或是我們對備用發電機的依賴性,才是最常見的實體風險。此外,氣候問題也是,例如洪水和暴風雨。一般來說,火災的風險並不大,因為這些設施都設有自動消防系統。大多數時候,這些實體風險都能獲得隔離及控制,不會造成資料中心完全損毀,但視情況而定,有時消防計畫也可能失敗。

繼續閱讀