谷歌提出开源安全漏洞的处理新框架

安全
随着开源技术的生态化,企业在IT建设、安全建设中往往引用大量开源软件。但开源软件真的安全吗?

据Gartner的调查显示,99%的组织在其信息系统中使用了开源软件,而Sonatype对开源软件使用情况的调查结果显示,每年每家企业平均下载5000多个开源软件。

随着开源技术的生态化,企业在IT建设、安全建设中往往引用大量开源软件。但开源软件真的安全吗?

开源项目的维护者在安全意识上和技术能力上参差不齐,导致快速传播的开源软件本身存在风险,再加上大多数的开发者往往更关注自己开发的代码的安全性,忽略了开源组件的安全质量,甚至一些企业或开发人员并不会对开源软件的代码进行安全测试,从而埋下了安全隐患,甚至引发供应链攻击的海啸。

开源安全漏洞该如何应对?谷歌提出了一个名为“知悉、预防、修复”的新框架。

[[380578]]
  • 达成关于元数据和身份标准的共识:就基础知识达成共识,且关于元数据详细信息和身份的协议将实现自动化,从而减少更新软件所需的工作量,使漏洞的影响最小化。
  • 增强对关键软件的透明度和审阅:需要在对安全至关重要的软件的开发流程上达成共识,以确保进行充分的审查,且透明地生成定义明确、可验证的正式版本。

该框架有望深入了解软件中的现有漏洞、防止引入新的漏洞,并且可以实施修复或剔除漏洞。

漏洞管理的总体目标

关键开源软件的特定目标

更多细节可以点击原博客了解:

https://opensource.googleblog.com/2021/02/know-prevent-fix-framework-for-shifting-discussion-around-vulnerabilities-in-open-source.html

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2013-10-15 09:21:40

2021-02-22 14:21:21

开源软件漏洞网络安全

2012-07-31 09:22:23

2014-09-26 09:28:14

Bash漏洞Bash软件安全漏洞

2023-06-12 18:55:22

2013-11-29 09:26:30

Android安卓漏洞

2024-09-26 13:06:39

2015-12-17 14:02:14

处理云安全漏洞

2021-02-05 16:29:47

Google开源软件框架

2010-11-10 15:49:38

2010-07-26 15:37:12

telnet安全漏洞

2009-10-12 13:01:23

2014-02-11 09:15:33

2014-06-03 09:23:41

2013-04-24 09:43:30

2014-06-03 11:36:18

2020-10-09 09:52:00

漏洞分析

2009-03-07 09:59:16

2011-12-26 11:22:48

2021-05-12 10:46:23

漏洞BINDDNS服务器
点赞
收藏

51CTO技术栈公众号