随着越来越多的公司在其软件中依赖开源组件,保护这些组件的安全变得越来越重要。在今天进行的一项Google活动中,开源专家探讨了如何确保开源软件的安全。援引外媒 Dark Reading 报道,这些讨论的话题还包括公司应该优先考虑什么,以及采取什么样的措施来改善开源安全的现状。
Synopsys 公司指出,平均每个软件程序至少依赖 500 个开源库和组件,比 2 年前的 298 个依赖项增长了 77%。一般软件程序中超过 75% 的代码由开源库和组件组成,84% 的应用程序至少有一个漏洞,平均每个应用程序有 158 个。
在关于开源供应链安全的演讲中,Google软件工程师 Dan Lorenc 建议公司了解他们在使用什么。他承认,这一步看起来很明显,但并不容易,特别是当开发者开始创建和发布工件,并将工件与其他工件结合起来时。当一个漏洞被报告时,不管是无意的还是恶意的,不知道什么在操作,都会让你陷入困境。
治理和不断审计新的依赖关系,无论是内部还是开放源码,都是保障软件的有效策略。Lorenc 补充说,这种控制也可以延伸到你使用的组件,并指出这对大多数公司来说也是一个困难的步骤。此外,要验证二进制包的内容是很困难的,但也不一定非要全盘否定。另一方面,生成和编译代码是开放源码的一部分。知道你可以在需要时进行构建是成功的一半,表明你对进入你的应用程序的代码有控制权。
Lorenc 强调,企业应该有计划地处理零日漏洞和已知问题。零日漏洞通常情况下会称为头条更容易受到关注,企业应该有一个应急策略来迅速修补它们。此外,一些老的漏洞由于关注度不高而始终没有得到修复。在运行各种环境和系统的大型组织中,这些问题很容易被忽视。
