将开源应用程序部署到生产环境时的安全注意事项

Question

我正在使用一个开源的eCommerce应用程序，并将很快将该应用程序(包括我自己的一些修改)推向生产环境，即互联网。考虑到代码和数据结构可以在网上免费获得，部署这样一个软件时的安全考虑因素/最佳实践是什么？

Answer 1

了解数据结构和代码不应该使您的产品本身就不那么安全。就像大多数开源倡导者所说的那样，让应用程序开源在某些方面会让它更安全。

真的，你应该像对待任何应用程序的安全性一样对待它。当然，了解代码和数据结构会让黑客攻击网站变得更简单，但这并不意味着网站或多或少是安全的。

例如，XSS漏洞仍然是一个漏洞，无论你有没有来源。有了源代码就意味着黑客可以知道漏洞(而你可能不知道)。

一个很好的起点是确保您的站点能够防御OWASP's Top 10列表中的漏洞。这些都是肯定会遵循的大问题。如果开源产品不能防御所有这些攻击，你可以自己做，并将其回馈给社区，这样每个人都会更安全。