Google 提出了一個應(yīng)對開源軟件漏洞的框架 —— “了解，預(yù)防，修復(fù)”。

隨著開源軟件的流行，開源軟件的安全性也越來越受到重視。然而，在實踐中卻很難形成一套針對開源軟件安全問題的完善解決方案，因為其涉及到很多方面，包括供應(yīng)鏈、依賴管理、身份和構(gòu)建管道等等。對此，Google 提出了一個應(yīng)對開源軟件漏洞的框架，即“了解，預(yù)防，修復(fù)”。該框架圍繞形成原數(shù)據(jù)和身份標(biāo)準(zhǔn)的共識、增強關(guān)鍵軟件的透明度和審閱來展開，并將重點工作分為三類，即了解軟件中的漏洞、防止添加新漏洞以及修復(fù)或者刪除漏洞。

[[380886]]

在這些工作中，該框架提出了一些具體措施，比如確定基礎(chǔ)結(jié)構(gòu)和行業(yè)標(biāo)準(zhǔn)以構(gòu)建漏洞數(shù)據(jù)庫、準(zhǔn)確跟蹤軟件依賴關(guān)系、通過 OpenSSF 的 Security Scorecards 項目來為開源軟件安全系數(shù)評分并幫助防御域名搶注攻擊、優(yōu)先修復(fù)廣泛使用的版本等等。

此外，該框架特別強調(diào)，對于“關(guān)鍵”開源項目(比如 OpenSSL 或密鑰加密庫之類的軟件)，應(yīng)該采用更嚴(yán)格的標(biāo)準(zhǔn)，包括不對關(guān)鍵軟件進行單方面更改、對關(guān)鍵軟件參與者的身份驗證、增加軟件工作透明度以及增強構(gòu)建過程可信度。

關(guān)于該“了解，預(yù)防，修復(fù)”框架詳細(xì)內(nèi)容，可以前往其官方博客查閱。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Google 提出應(yīng)對開源軟件漏洞的框架：了解、預(yù)防、修復(fù)

本文地址：https://www.oschina.net/news/129060/google-framework-know-prevent-fix