现如今,开发者们使用开源代码来构建软件几乎不可避免。但所有这些外部引入的依赖都可能带来额外的软件安全风险。
调研报告显示,84% 代码库至少存在一个开源组件安全漏洞,其中平均每个代码库存在 158 个开源组件漏洞,65% 的代码库存在许可冲突,发现的漏洞平均是已存在 2.2 年。开源软件存在如此多的安全漏洞,这对于应用开源软件的企业和个人来讲,都是巨大的安全隐患。
事实上,大家也都在努力保护他们的开源软件供应链安全,但是,又面临一个问题,他们甚至都不知道他们的软件使用了哪些开源组件,其中又包含了哪些代码信息;
OSCS社区主要发起人章华鹏认为:对于所有的开发者来说,治理开源软件供应链安全有4个关键点
1、所有开源软件应该明确SBOM清单(软件物料清单),并能够公开公示;
2、开源软件SBOM清单一旦发生变更要实时进行安全漏洞和合规检测;
3、社区一旦曝出新的安全威胁,也需要及时的去检测开源项目是否受到影响
4、一旦发现存在新的安全漏洞和合规风险,应该及时修复并发布安全版本及安全通告;
在这样的背景下,一些来自社区的开源开发者们发起了OSCS开源社区计划,该计划致力于帮助每一个开源项目变的更安全,也让每一个开发者能够更安全的使用开源项目,促进开源生态的健康发展。
OSCS能做什么?
1、在社区展示收录的组件,引用了哪些依赖,并提供详细的SBOM清单进行参考。
2、使用墨菲安全的技术能力,对收录的组件/项目进行漏洞扫描,并提供详细的漏洞报告;
3、用户可以订阅使用的开源组件/项目动态,一旦发现存在安全风险,将会通知下游使用项目/组件的用户,及时进行代码修复;
4、加入开源守护者计划:OSCS与墨菲安全达成战略合作,为每一个加入开源守护者计划的开发者,免费提供墨菲安全的漏洞检测修复能力,让每一个开发者能快速检测修复项目存在的漏洞,修复完成之后还会得到OSCS的认证徽章;
写在最后,希望每个开发者都能拥抱开源,让开源生态变的更安全。
1562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
