注意维护项目的开发人员数量和发布频率

shuklaranisrb88

检查长期支持版本及其发布时间。然而，对于一些稳定的项目来说，发布不频繁且仅修复错误是很正常的。过时的软件在项目中使用旧版本的组件会使修补变得更加困难。这个问题在第一个风险的情况下尤其严重：组件中的漏洞。当组件的新版本在语法或语义上与以前的迭代显着不同时，通常会出现过时依赖项的问题。在这种情况下，过时的版本可能会在没有安全更新的情况下继续使用多年。保障措施：让开发人员有时间处理依赖项，包括重构代码以更新到正在使用的组件的最新版本。未跟踪的依赖项由于几乎所有应用程序都使用第三方组件，而第三方组件又使用其他第三方组件，因此主应用程序的开发人员通常不知道其代码中存在特定组件。在这种情况下，不会检查列表中的所有其他风险。更新漏洞等的状态根本就是未知的。安全措施：使用扫描工具编译详细的软件物料清单，该工具甚至可以检测在没有包管理器的情况下使用的依赖项。

监管和许可风险尽管是开源的，但每个开源应用程序和软件包都有自己的使用许可证。如果许可证与应用程序的预期用途不兼容，或者应用程序某些组件的许可证彼此不兼容，则会出现风险。该机构的一个或多个组成部分也可能违 罗马尼亚手机号码数据库 反对公司施加的适用法律或监管要求。安全措施：应该使用已经提到的和代码扫描工具来跟踪适用于企业内使用的开源应用程序和组件的许可证和许可要求。因此，与法律部门合作制定公司可接受的标准许可证列表是有意义的，详细说明它们与所用软件用途的兼容性。必须删除具有不兼容许可证或根本没有许可证的软件。软件不成熟使用由不成熟的团队开发的组件会带来一系列的缺点和风险。



与不成熟软件相关的问题包括代码文档不足或不准确不稳定容易出错的操作以及缺乏用于回归测试的测试套件。此外，不成熟的代码更有可能隐藏严重漏洞。所有这些使得使用不成熟的软件变得不切实际，并且增加了所涉及的成本以及紧急情况和停机的风险。保障措施：在部署应用程序或组件之前，确保开发人员正在实施当前的最佳实践：拥有完整且最新的文档用于回归测试的分段，以及有关测试覆盖率甚至包数量的详细信息该组件已使用。未经批准擅自变更应用程序使用的组件可能会在开发人员完全察觉不到的情况下发生变化。如果组件是在没有严格版本控制的情况下和或通过未加密的通信通道从服务器下载的，并且未使用哈希值和数字签名进行验证，则可能会发生这种情况。