在应用开发过程中,经常有不同的技术选型,比如java系的开源框架,如strust2,php系的很多框架,如wordpress等,由于企业都采用一些开源框架进行研发,而这些源码是可以任何黑客人士都可以读到源码的,更容易发现其中的漏洞和一些潜在威胁,如果这些应用只在企业内部使用还好,但是如果是公网应用,请问对于这种源代码公开的开源框架方面的安全应该如何进行防范呢?
任何框架都会有漏洞,要解决这个问题还是要从安全架构上入手,以框架中最致命的注入脚步执行或者提权为例,可行的办法是在框架的整个运行环境外加一层沙箱,比如最简单的要以非登录nobody运行,控制其读写执行权限,同时可以用cgroup等保护服务器资源,另外,网络层要在服务器上做好保护,这样即使框架有问题,用户以进城身份进到服务器也没有权限执行太多恶意行为
收起