谷歌提出开源安全漏洞的处理新框架
2021-02-04 12:57:01 Author: www.freebuf.com(查看原文) 阅读量:203 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据Gartner的调查显示,99%的组织在其信息系统中使用了开源软件,而Sonatype对开源软件使用情况的调查结果显示,每年每家企业平均下载5000多个开源软件。

随着开源技术的生态化,企业在IT建设、安全建设中往往引用大量开源软件。但开源软件真的安全吗?

开源项目的维护者在安全意识上和技术能力上参差不齐,导致快速传播的开源软件本身存在风险,再加上大多数的开发者往往更关注自己开发的代码的安全性,忽略了开源组件的安全质量,甚至一些企业或开发人员并不会对开源软件的代码进行安全测试,从而埋下了安全隐患,甚至引发供应链攻击的海啸。

开源安全漏洞该如何应对?谷歌提出了一个名为“知悉、预防、修复”的新框架。

达成关于元数据和身份标准的共识:就基础知识达成共识,且关于元数据详细信息和身份的协议将实现自动化,从而减少更新软件所需的工作量,使漏洞的影响最小化。

增强对关键软件的透明度和审阅:需要在对安全至关重要的软件的开发流程上达成共识,以确保进行充分的审查,且透明地生成定义明确、可验证的正式版本。

该框架有望深入了解软件中的现有漏洞、防止引入新的漏洞,并且可以实施修复或剔除漏洞。

漏洞管理的总体目标

知悉

精确的漏洞数据

漏洞数据库的标准架构

精准跟踪

预防

了解相关风险

剔除漏洞的措施

修复

快速维修的通知

修复广泛使用的版本

关键开源软件的特定目标

禁止单方面修改

需要代码审查

更改需要两个独立方的批准

所有者和维护者不能匿名

验证参与者

对贡献者进行强认证

风险变更通知

启用软件开发透明度

创建信任构建过程的方法

更多细节可以点击原博客了解:

https://opensource.googleblog.com/2021/02/know-prevent-fix-framework-for-shifting-discussion-around-vulnerabilities-in-open-source.html


文章来源: https://www.freebuf.com/news/262980.html
如有侵权请联系:admin#unsafe.sh