3同行回答
华为NAS存储在开源软件治理方面采取了多层次的策略来确保安全性和稳定性:
1、 选择安全可靠的开源软件:华为优先选择经过严格审查和广泛使用的开源软件,以降低潜在的安全风险。同时,避免使用存在漏洞的软件,并及时更新补丁,以确保软件的安全性。
2、 严格的开源组件库管控:华为所有的存储系统中使用的开源组件都在产品的不同开发关键点通过严格的开源组件库进行管控。这一策略确保了即使出现新的开源漏洞,也能通过统一的开源组件管控平台第一时间进行修补。
3、 一站式开源软件治理服务:华为云推出了开源治理服务,该服务凝聚了华为在开源治理上的优秀实践经验。它提供开源软件元数据及软件成分分析、恶意代码检测等能力,从合法合规、网络安全等多个方面进行全面的治理。
4、 软件成分分析:华为还采用了软件成分分析技术,这是一种通过对软件源码、二进制软件包等的静态分析,挖掘其所存在的开源合规、已知漏洞等安全合规风险的方法。这种分析有助于及时发现和解决潜在的安全问题。
华为在开源软件治理方面的应对策略包括全量统一管理软件开源BOM,以持续量化开源软件的可控性风险。此外,他们建立了漏洞E2E管理的工具链,能快速精准地感知并及时消除开源软件的隐患。
基于华为鲲鹏全线协议栈的支持,他们构建了一套运行环境,能做到数据的“可用不可见”和“应用空间隔离”,从而保障数据和隐私安全,使开源软件能在隐私计算的环境中安全运行。
同时,华为NAS存储针对防勒索问题,也有一系列的策略。其中包括选择安全可靠的开源软件,及时更新补丁来确保软件的安全性;限制开源软件的使用范围,降低被攻击的风险;加强开源软件的安全管理,包括源代码审查、漏洞扫描、安全测试等;并积极参与开源社区合作,共同维护开源软件的安全性。
另外,华为云还正式发布了CodeArts Governance开源治理服务,这是一款针对软件研发提供的一站式开源软件治理服务。以上各项措施共同保证了华为NAS存储在开源软件治理方面的成效。
从防勒索视角看,针对开源软件中存在漏洞或者后门的情况,要防止被利用入侵和勒索加密,可通过侦测分析及时发现安全威胁,减少开源软件带来的安全风险。
同时,华为所有的存储系统中,使用的开源组件均会在产品的不同开发关键点通过严格的开源组件库进行管控,一旦爆发新的开源漏洞,通过统一的开源组件管控平台第一时间修补。
另,华为即将开源open-eBackup备份软件,广纳软硬件多样化生态,为客户提供统一、开放的使用体验。
收起ChatGPT 回答
针对防勒索,华为NAS存储在开源软件治理方面可以采取以下策略:
- 采用安全的开源软件:选择安全可靠的开源软件,避免使用存在漏洞的软件,及时更新补丁,确保软件的安全性。
- 限制开源软件的使用范围:对于开源软件的使用,应该限制其使用范围,避免将其用于关键业务系统中,从而降低被攻击的风险。
- 加强开源软件的安全管理:对于使用的开源软件,应该加强其安全管理,包括源代码审查、漏洞扫描、安全测试等,及时发现和修复漏洞。
- 与开源社区合作:积极参与开源社区,与开源社区合作,共同维护开源软件的安全性,及时修复漏洞,提高软件的安全性。
针对NAS存储防勒索,华为NAS存储可以采取以下策略:
- 数据备份:定期备份数据,避免数据丢失或被加密。
- 强化访问控制:加强访问控制,限制用户访问权限,避免未授权用户访问存储设备。
- 加强安全管理:加强存储设备的安全管理,包括加密存储、访问日志记录、安全审计等,及时发现和处理异常情况。
- 安全更新:及时更新存储设备的安全补丁,避免被攻击者利用已知漏洞攻击存储设备。
如何构建统一全量、安全可用的开源和第三方软件可信供应链?
- 选择可信的供应商:选择可信的供应商,避免使用存在安全漏洞的软件,确保软件的安全性。
- 审查供应商的软件:对于使用的开源和第三方软件,应该审查其源代码,确保其安全可靠。
- 加强供应商的安全管理:加强对供应商的安全管理,包括源代码审查、漏洞扫描、安全测试等,及时发现和修复漏洞。
- 与供应商合作:积极与供应商合作,共同维护软件的安全性,及时修复漏洞,提高软件的安全性。
- 安全更新:及时更新软件的安全补丁,避免被攻击者利用已知漏洞攻击软件。