根据Gartner的调查,99%的组织在其信息系统中使用开源软件,而Sonatype对开源软件使用情况的调查显示,每个企业的平均下载量超过5000个开源软件。随着开源技术的生态化,企业在IT建设和安全建设中往往会大量引用开源软件。但是开源软件真的安全吗?开源项目维护者的安全意识和技术能力参差不齐,导致快速传播的开源软件本身也存在风险。此外,大多数开发者往往更关注自己开发的代码而忽略了开源组件的安全质量,甚至有的公司或开发者不对开源软件的代码进行安全测试,埋下安全隐患,甚至引发供应链攻击的海啸。如何应对开源安全漏洞?谷歌提出了一个名为“了解、预防、修复”的新框架。就元数据和身份标准达成共识:就元数据细节和身份达成基本共识并自动达成一致,可以减少更新软件所需的工作量,并最大限度地减少漏洞的影响。提高关键软件的透明度和审查:需要就安全关键软件的开发过程达成共识,以确保对定义明确、可验证的生产版本进行充分审查和透明生产。该框架承诺洞察软件中现有的漏洞,防止引入新漏洞,并可以实施修复或清除它们。漏洞治理的总体目标重点开源软件的具体目标更多详情可查看原博客:https://opensource.googleblog.com/2021/02/know-prevent-fix-framework-for-shifting-discussion-around-vulnerabilities-in-open-source.html
