随着开源软件的流行,开源软件的安全性也越来越受到重视。然而,在实践中却很难形成一套针对开源软件安全问题的完善解决方案,因为其涉及到很多方面,包括供应链、依赖管理、身份和构建管道等等。对此,Google 提出了一个应对开源软件漏洞的框架,即“了解,预防,修复”。该框架围绕形成原数据和身份标准的共识、增强关键软件的透明度和审阅来展开,并将重点工作分为三类,即了解软件中的漏洞、防止添加新漏洞以及修复或者删除漏洞。
在这些工作中,该框架提出了一些具体措施,比如确定基础结构和行业标准以构建漏洞数据库、准确跟踪软件依赖关系、通过 OpenSSF 的 Security Scorecards 项目来为开源软件安全系数评分并帮助防御域名抢注攻击、优先修复广泛使用的版本等等。
此外,该框架特别强调,对于“关键”开源项目(比如 OpenSSL 或密钥加密库之类的软件),应该采用更严格的标准,包括不对关键软件进行单方面更改、对关键软件参与者的身份验证、增加软件工作透明度以及增强构建过程可信度。
关于该“了解,预防,修复”框架详细内容,可以前往其官方博客查阅。
本文转自OSCHINA
本文Google 提出应对开源软件漏洞的框架:了解、预防、修复
本文地址:https://www.oschina.net/news/129060/google-framework-know-prevent-fix