據(jù)Gartner的調(diào)查顯示，99%的組織在其信息系統(tǒng)中使用了開源軟件，而Sonatype對開源軟件使用情況的調(diào)查結(jié)果顯示，每年每家企業(yè)平均下載5000多個開源軟件。

隨著開源技術(shù)的生態(tài)化，企業(yè)在IT建設(shè)、安全建設(shè)中往往引用大量開源軟件。但開源軟件真的安全嗎?

開源項目的維護者在安全意識上和技術(shù)能力上參差不齊，導(dǎo)致快速傳播的開源軟件本身存在風險，再加上大多數(shù)的開發(fā)者往往更關(guān)注自己開發(fā)的代碼的安全性，忽略了開源組件的安全質(zhì)量，甚至一些企業(yè)或開發(fā)人員并不會對開源軟件的代碼進行安全測試，從而埋下了安全隱患，甚至引發(fā)供應(yīng)鏈攻擊的海嘯。

開源安全漏洞該如何應(yīng)對?谷歌提出了一個名為“知悉、預(yù)防、修復(fù)”的新框架。

• 達成關(guān)于元數(shù)據(jù)和身份標準的共識：就基礎(chǔ)知識達成共識，且關(guān)于元數(shù)據(jù)詳細信息和身份的協(xié)議將實現(xiàn)自動化，從而減少更新軟件所需的工作量，使漏洞的影響最小化。
• 增強對關(guān)鍵軟件的透明度和審閱：需要在對安全至關(guān)重要的軟件的開發(fā)流程上達成共識，以確保進行充分的審查，且透明地生成定義明確、可驗證的正式版本。

該框架有望深入了解軟件中的現(xiàn)有漏洞、防止引入新的漏洞，并且可以實施修復(fù)或剔除漏洞。

漏洞管理的總體目標

關(guān)鍵開源軟件的特定目標

更多細節(jié)可以點擊原博客了解：

https://opensource.googleblog.com/2021/02/know-prevent-fix-framework-for-shifting-discussion-around-vulnerabilities-in-open-source.html