开源软件具有开放、共享、自由等特性,在软件开发中扮演着越来越重要的角色,也是软件供应链的重要组成部分。据Gartner调查显示,99%的组织在其 IT系统中使用了开源软件。而来自Sonatype公司的一项调查则显示,在参与调查的3000家企业中,每年每家企业平均下载 5000个开源软件。
然而,开源软件中存在大量的安全隐患,企业在享受开源软件带来的便利的同时,也在承担着巨大的安全风险。近年来,开源软件频繁爆出高危漏洞,例如Strusts2、OpenSSL等。这些组件很多都应用于信息系统的底层,并且应用范围非常广泛,因此漏洞带来的安全危害非同一般。
想研发一个开源软件资产测绘方面产品,利用web漏扫技术,结合开源软件特定的指纹库信息,识别企业资产内开源软件信息及版本号,根据漏洞库预警是否存在开源软件风险。进一步搭建POC库,自动或人工POC验证。
有这方面网络安全创业的技术朋友请VX;cg3601 联系,可合作伙伴形式或者兼职形式。谢谢!
--
FROM 101.40.204.*