隨着越來越多的公司在其軟件中依賴開源組件,保護這些組件的安全變得越來越重要。在今天進行的一項Google活動中,開源專家探討了如何確保開源軟件的安全。援引外媒 Dark Reading 報道,這些討論的話題還包括公司應該優先考慮什麼,以及採取什麼樣的措施來改善開源安全的現狀。
Synopsys 公司指出,平均每個軟件程序至少依賴 500 個開源庫和組件,比 2 年前的 298 個依賴項增長了 77%。一般軟件程序中超過 75% 的代碼由開源庫和組件組成,84% 的應用程序至少有一個漏洞,平均每個應用程序有 158 個。
在關於開源供應鏈安全的演講中,Google軟件工程師 Dan Lorenc 建議公司了解他們在使用什麼。他承認,這一步看起來很明顯,但並不容易,特別是當開發者開始創建和發布工件,並將工件與其他工件結合起來時。當一個漏洞被報告時,不管是無意的還是惡意的,不知道什麼在操作,都會讓你陷入困境。
治理和不斷審計新的依賴關係,無論是內部還是開放源碼,都是保障軟件的有效策略。Lorenc 補充說,這種控制也可以延伸到你使用的組件,並指出這對大多數公司來說也是一個困難的步驟。此外,要驗證二進制包的內容是很困難的,但也不一定非要全盤否定。另一方面,生成和編譯代碼是開放源碼的一部分。知道你可以在需要時進行構建是成功的一半,表明你對進入你的應用程序的代碼有控制權。
Lorenc 強調,企業應該有計劃地處理零日漏洞和已知問題。零日漏洞通常情況下會稱為頭條更容易受到關注,企業應該有一個應急策略來迅速修補它們。此外,一些老的漏洞由於關注度不高而始終沒有得到修復。在運行各種環境和系統的大型組織中,這些問題很容易被忽視。