![](https://img-blog.csdnimg.cn/20190918140158853.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
开源治理
文章平均质量分 93
介绍开源软件治理方法、流程、工具及相关实践
筑梦之月
10+年网络安全领域大厂工作经验,国际注册信息系统安全专家CISSP证书持有者,研究生国家奖学金获得者,发表多篇SCI论文及专利,专注于SDL、DevSecOps、安全体系构建、安全工具等网络安全垂直知识分享与交流。
展开
-
安全术语 | 软件包purl详解:跨工具、数据库、API和语言之间可靠地识别和定位软件包
我们通过大量消费和生产软件包来构建和发布软件,如Maven、Gradle、NPM、RPM、Rubygems等。每个软件包管理器、平台、类型或生态系统都有自己的约定和协议来识别、定位和提供软件包。当工具、API和数据库处理或存储多个包类型时,很难以统一的方式跨工具引用同一个软件包。例如,这些工具、规范和API使用相对相似的方法来识别和定位软件包,每个软件包在语法、命名和约定方面都有细微的差异:1、Sonatype 使用组件标识(component Identifier)来区分不能组件。原创 2024-05-28 21:48:18 · 1595 阅读 · 0 评论 -
重新夺回控制权!原创始人从Synk回购FossID,致力于解决开源许可合规风险
FossID可帮助组织或企业保护软件免受软件供应链中第三方组件带来的安全、法律和操作风险的影响。FossID的软件组成分析(SCA)工具集可以在代码中查找所有开源软件,并突出显示关键的安全漏洞、许可证限制和违反策略的情况。使用FossID可以构建最准确的软件物料清单(SBOM),包括开源和商业组件。FossID 的使命始终是通过为企业配备准确、快速和自动化的软件构成分析 (SCA) 工具,帮助企业最大限度地提高开源软件采用效率。FossID相信协作的力量,合作可以激发创新。原创 2024-05-24 22:29:10 · 1396 阅读 · 0 评论 -
开源软件 | 一文彻底搞懂许可证的定义、起源、分类及八大主流许可证,让你选型不再头疼
开源许可证是一种法律协议,它规定了软件代码可以被如何使用、修改和分发。其中,著作权是指对于软件代码的创作者所拥有的法律权利,包括复制、发布、演绎等权利。分发是指分发指软件作者向他人提供软件源代码或二进制代码或二者的副本。著作权法默认禁止共享,没有许可证的软件就不能免费地使用、修改、共享。在开源许可证中,通常会涉及到著作权许可授权的问题。这些许可协议可以分为两大类:强制性许可证和非强制性许可证。强制性许可证要求使用该软件的用户必须遵守特定的协议,否则将面临诉讼风险。原创 2024-05-24 21:46:58 · 2589 阅读 · 0 评论 -
安全工具 | SCA工具ScanOSS介绍、安装及使用技巧
SCANOSS是第一个价格合理、完全开源的OSS组件和情报平台,专门为现代DevSecOps和供应链构建,使他们能够为DevSecOps团队及其供应链合作伙伴提供更大的许可证、安全性、质量和来源可见性和控制。通过让开发人员能够专注于编写他们和他们的团队完全信任的优秀、安全和兼容的代码,应用程序可以更早地完成,其质量始终更高,开发成本也大大降低。开源版本知识库一般按季度更新,如果企业或组织想获取更快的更新,需要购买SCANOSS商业版本。原创 2024-05-19 22:05:00 · 1265 阅读 · 0 评论 -
OWASP 发布开源软件OSS的十大风险,已知漏洞排名第一,首次汇齐了10大类型的攻击案例
Sonatype的研究人员2022年报告了一个通过恶意Python包pymafka(pymafka软件包包含一个Python脚本,用于监视主机并确定其操作系统)进行的供应链攻击,该包被上传到流行的PyPI代码源。该软件包试图通过名称仿冒感染用户,希望寻找合法的"pykafka"软件包的受害者可能会打错查询语句而下载恶意软件。pymakfa包如此命名是希望用户能将其与pykafka混淆,后者是一个在企业中广泛使用的Python的Kafka客户端。Kafka是一个开源的分布式事件流平台,被成千上万的公司使用。原创 2024-05-06 14:52:04 · 1216 阅读 · 0 评论 -
「 网络安全常用术语解读 」SBOM主流格式SWID详解
国际标准化组织(ISO)和国际电工委员会(International Electrotechnical Commission,IEC)发布了软件标识(Software Identification,SWID)标签标准,该标准定义了用于描述软件产品的结构化元数据格式。原创 2024-05-03 17:33:07 · 1314 阅读 · 1 评论 -
「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
CycloneDX是软件供应链的现代标准。CycloneDX物料清单(BOM)可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导,由Ecma International标准化,并得到全球信息安全界的支持,如今CycloneDX已经是OWASP旗舰项目。原创 2024-05-03 11:16:29 · 1745 阅读 · 0 评论 -
「 网络安全常用术语解读 」SBOM主流格式SPDX详解
SPDX格式是一种用于描述软件组件的规范,提供了一种标准化的方法来描述软件组件的元数据,包括其许可证、依赖项和其他属性。随着开源和共享软件开发环境的普及,SPDX格式得到了广泛的应用。通过SPDX格式,组织可以更好地了解和管理软件供应链,降低合规风险,提高软件质量,加强安全性。SPDX作为一个开放的标准格式,为软件行业的合作和创新提供了重要的基础。原创 2024-04-25 07:33:49 · 1547 阅读 · 5 评论 -
「 网络安全常用术语解读 」软件物料清单SBOM详解
软件物料清单(Software Bill of Materials,SBOM)是软件成分信息的集合,SBOM文件中记录了软件产品或服务所使用组件、库、框架的清单,用于描述软件构建过程中使用的所有组件及其关系,以实现软件供应链的自动化识别与管理的需求。SBOM 属性主要包括基线属性集、未确定的属性值、映射到现有的格式、组件关系以及附加元素,原创 2024-04-24 21:50:57 · 1585 阅读 · 3 评论 -
【解读】保障软件供应链安全:SBOM推荐实践指南(含指南获取链接)
该指南旨在帮助组织快速启动其 SBOM 项目,并有效管理与开源软件相关的风险。开源软件管理;创建和维护公司内部安全的开源存储库;维护、支持和危机管理;SBOM 创建、验证和制品。原创 2024-03-17 11:53:04 · 1568 阅读 · 0 评论 -
解读 | Synopsys发布2024年开源安全和风险分析报告OSSRA
软件供应链管理中,许可证和安全合规性至关重要。开源组件和库可降低风险,但需了解许可证内容。Synopsys 2023年审计发现,超过一半的代码库存在许可证冲突。MIT许可证是最常用的宽松许可证,但也与其他许可证存在不兼容风险。原创 2024-03-15 21:25:16 · 1725 阅读 · 0 评论 -
软件供应链安全项目in-toto开源框架详解
intoto提供了一个保护软件供应链的完整性的开源框架,通过验证链中的每个任务都是按计划执行的,仅由授权人员执行,并且构建在传输过程中没有被篡改来完成。in-toto需要项目所有者创建布局。布局列出了软件供应链的步骤序列,以及授权执行这些步骤的专职人员。当专职人员总共执行一个步骤时,收集有关所用命令和相关文件的信息,并将其存储在链接元数据文件中。因此,链接文件提供了建立连续链所需的证据,该连续链可以根据布局中定义的步骤进行验证。原创 2024-01-20 22:30:19 · 1581 阅读 · 0 评论 -
从SLSA看软件供应链面临哪些威胁及对应解决方案
2023 年 4 月,SLSAv1.0 发布,相比 SLSA v0.1 发生了很大的变化,该版本作为 SLSA 的第一个稳定版本,代表了广泛的共识,未来将不会发生重大变化。该框架为软件生产者和消费者提供了一套可遵循的标准,生产者可以遵循 SLSA 的指导方针使他们的软件供应链更安全,而消费者可以使用 SLSA 来决定是否信任软件包,组织通过遵循 SLSA 的指导,可以更好的确保其软件供应链的安全性和可靠性。SLSA的目标是改善行业状态,尤其是开源,以防卫最紧迫的完整性威胁。原创 2023-12-29 21:06:26 · 1447 阅读 · 0 评论 -
迈向开源世界:如何正确看待开源软件,避免六大误区
RedHat官方给出这样的解释:开源软件是通过特定类型的许可证发布的软件,这种许可证能让最终用户合法地使用其源代码。这意味着用户可以查看组成该软件的代码并对其进行所需的任何更改。这意味着任何人都可以获取源代码并利用它来分发自己的程序。原创 2023-12-27 22:40:54 · 2495 阅读 · 2 评论 -
剖析Google SLSA供应链完整性框架
2023年4月19日开源安全基金会( Open Source Security Foundation,OpenSSF)宣布发布软件工件供应链级别(Supply-chain Levels for Software Artifacts,SLSA,发音为“salsa”)1.0版本。SLSA是一个OpenSSF项目,提供软件供应链安全规范,由社区专家共识建立。SLSA的框架被组织成一系列级别,这些级别描述了逐渐严格的安全性,旨在确保软件没有被篡改,并且可以安全地追溯到其来源。原创 2023-12-24 17:04:51 · 1238 阅读 · 0 评论 -
国内外知名免费及商业漏洞库汇总
汇总了国内外知名的免费漏洞库、商业漏洞库,帮忙大家在选型漏洞库提供参考。原创 2023-04-15 08:13:01 · 2171 阅读 · 0 评论