Google 提出了一个应对开源软件漏洞的框架 —— “了解,预防,修复”。
随着开源软件的流行,开源软件的安全性也越来越受到重视。然而,在实践中却很难形成一套针对开源软件安全问题的完善解决方案,因为其涉及到很多方面,包括供应链、依赖管理、身份和构建管道等等。对此,Google 提出了一个应对开源软件漏洞的框架,即“了解,预防,修复”。该框架围绕形成原数据和身份标准的共识、增强关键软件的透明度和审阅来展开,并将重点工作分为三类,即了解软件中的漏洞、防止添加新漏洞以及修复或者删除漏洞。
在这些工作中,该框架提出了一些具体措施,比如确定基础结构和行业标准以构建漏洞数据库、准确跟踪软件依赖关系、通过 OpenSSF 的 Security Scorecards 项目来为开源软件安全系数评分并帮助防御域名抢注攻击、优先修复广泛使用的版本等等。
此外,该框架特别强调,对于“关键”开源项目(比如 OpenSSL 或密钥加密库之类的软件),应该采用更严格的标准,包括不对关键软件进行单方面更改、对关键软件参与者的身份验证、增加软件工作透明度以及增强构建过程可信度。
关于该“了解,预防,修复”框架详细内容,可以前往其官方博客查阅。
本文转自OSCHINA
本文标题:Google 提出应对开源软件漏洞的框架:了解、预防、修复
本文地址:https://www.oschina.net/news/129060/google-framework-know-prevent-fix
本文转载自网络,原文链接:https://www.oschina.net/news/129060/google-framework-know-prevent-fix
版权声明:本文转载自网络,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。本站转载出于传播更多优秀技术知识之目的,如有侵权请联系QQ/微信:153890879删除
相关文章-
Google 提出应对开源软件漏洞的框架:
-
3 个电子邮件错误以及如何避免它们
-
Windows蓝屏为什么是蓝底白字?微软程
-
国产操作系统二十年“守夜人”
精彩导读
热门资讯