在互联网迅速发展的明天,许多企业和个人的构建网站的需求在持续降低。在没有太多资金预算的情况下,惟有自己建站了。而目前建站分为开源建站和模板建站(也就是不开源建站)两种。
为何选择开源建站系统?
假如你懂技术知识,或则是企业有技术人员,这么就可以使用开源建站系统来建站。开源建站系统的最大优点就是系统源代码开放,这样就既可以下载安装布署到自己的服务器上,又可以对网站进行二次开发,而模板建站系统即使使用上去很简单只须要在线选择模板再添加须要的功能蓝筹股就可以了,但使用开源建站系统则可以防止因原有业务不续费,要转换服务商,而遗失过往资料、数据以及域名。
热门开源建站系统安全吗?
近日开源安全研究院对Gitee上热门的15个开源建站系统的最新版本使用开源网安SourceCheck(开源组件安全及合规管理平台)进行了扫描之后对它们的结果进行了统计剖析:(按照超危的漏洞数量由高到低排序)
热门开源建站系统大部份都使用了什么存在超危漏洞的组件?
15个开源建站系统中14个都被报出超危漏洞,而测试样本里风险最高的老花生/Open-Shop超危个数最多,为33个。由此可见linux定时器,热门的开源建站系统都存在着超危级别的风险。
开源安全研究院汇总了14份安全报告中提供了超危组件并根据出现的频度进行了统计
在报告中还能否看见的是有些组件被检出是超危风险的频度比较高。这个问题该如何解决呢?
怎么规避免源建站系统的风险?
最简单的方式是通过进行组件的升级来减少风险等级。
比如在微同科技/微同商城中的bcprov-jdk5on组件(1.59版本)的风险等级被报出为超危。
而在众邦科技/CRMEB打通版的同样使用了bcprov-jdk15on组件,并且由于版本号是(1.64版),最高才中危级别。
以下是开源安全研究院推荐使用的组件版本(根据字母次序排列)
“开源”有便利,但别忘了“开源”也有风险
随着互联网的发展,国家对数字化进程的加快,加上中国电商市场的迅速发展,越来越多的人涌向电商市场,而开源建站系统的优势也成为预算成本没这么多的一些人的首选。这大约也是热门开源建站系统中几乎都是用于建新零售/淘宝/商城方向的软件的诱因了。
经过以上督查可以发觉的就是,绝大部份的开源建站系统都是存在着组件漏洞风险的深度linux,所以当你们在使用它的便利的同时也不可忽略它存在着的组件漏洞风险。要注意网站的系统安全免费开源建站系统,以防哪天这种组件就打开了个侧门泄露了而导致了损失。
可能会有人说假如发觉了它们自己的源代码存在了漏洞修不修补呢?想必没有关注我们上一期讨论的漏洞修不修的问题吧?记得在使用开源建站系统的同时不要忘掉关注它的风险。
关于开源安全研究院
开源安全研究院是依托开源网安公司的产品和丰富的案例,专注于软件安全相关技术及新政的研究,围绕行业发展的焦点问题以及前沿性的研究课题,结合国家及社会的实际需求以开放、合作共享的形式举办创新型和实践性的技术研究及分享。
团队自2021年创立以来现已发觉了10多个CVE漏洞,参编了中国电信研究院《CU-DevSecOps实践蓝皮书》免费开源建站系统,国资委《中央企业网路安全发展研究报告》,国家标准《政府门户网站系统安全技术手册》、《软件供应链安全要求》、《网络安全从业人员能力基本要求》,国家标准研究《互联网恶意软件整治规范》、《安全开发能力评估准则》,工信安全团标《软件安全开发基本要求》、《软件安全开发能力评估》,等级保护团标《网络安全等级保护应用软件安全开发管理评估手册》,通讯行业标准《面向云估算的研制营运安全工具能力要求》、《开源软件整治能力评估方式》、《网络安全产品成熟度系列标准》。并于2021年末在OWASP中国的技术支撑下成功的举行了2021首届WAF攻守比赛。