Google 提出应对开源软件漏洞的框架:了解、预防、修复

开源
Google 提出了一个应对开源软件漏洞的框架 —— “了解,预防,修复”。随着开源软件的流行,开源软件的安全性也越来越受到重视。

Google 提出了一个应对开源软件漏洞的框架 —— “了解,预防,修复”。

随着开源软件的流行,开源软件的安全性也越来越受到重视。然而,在实践中却很难形成一套针对开源软件安全问题的完善解决方案,因为其涉及到很多方面,包括供应链、依赖管理、身份和构建管道等等。对此,Google 提出了一个应对开源软件漏洞的框架,即“了解,预防,修复”。该框架围绕形成原数据和身份标准的共识、增强关键软件的透明度和审阅来展开,并将重点工作分为三类,即了解软件中的漏洞、防止添加新漏洞以及修复或者删除漏洞。

[[380886]]

在这些工作中,该框架提出了一些具体措施,比如确定基础结构和行业标准以构建漏洞数据库、准确跟踪软件依赖关系、通过 OpenSSF 的 Security Scorecards 项目来为开源软件安全系数评分并帮助防御域名抢注攻击、优先修复广泛使用的版本等等。

此外,该框架特别强调,对于“关键”开源项目(比如 OpenSSL 或密钥加密库之类的软件),应该采用更严格的标准,包括不对关键软件进行单方面更改、对关键软件参与者的身份验证、增加软件工作透明度以及增强构建过程可信度。

关于该“了解,预防,修复”框架详细内容,可以前往其官方博客查阅。

本文转自OSCHINA

本文标题:Google 提出应对开源软件漏洞的框架:了解、预防、修复

本文地址:https://www.oschina.net/news/129060/google-framework-know-prevent-fix

责任编辑:未丽燕 来源: 开源中国
相关推荐

2021-02-22 14:21:21

开源软件漏洞网络安全

2009-02-17 20:01:11

微软招聘linux业务主管

2022-08-31 10:11:51

漏洞赏金计划漏洞

2021-02-20 17:36:30

Google开源项目漏洞

2021-02-04 12:46:54

谷歌开源安全漏洞

2010-08-24 10:42:53

Google安全漏洞

2009-08-27 09:25:33

GoogleChrome高危漏洞Mozilla

2021-02-06 09:57:00

GoogleChrome漏洞

2021-06-25 10:24:30

Google开源漏洞数据库

2011-03-04 14:10:21

2021-11-01 05:42:33

勒索软件攻击网络安全

2009-05-11 15:53:39

开源LinuxUbuntu

2012-05-28 17:16:12

2021-05-18 09:10:24

Percona开源软件企业

2012-07-26 13:18:15

开源系统

2022-01-03 07:19:47

Google漏洞Chrome

2011-12-03 20:25:53

2020-11-04 14:59:01

GoogleChrome更新

2013-12-05 10:56:10

TechEd2013

2010-12-16 10:56:23

点赞
收藏

51CTO技术栈公众号