隨著越來(lái)越多的公司在其軟件中依賴開(kāi)源組件，保護(hù)這些組件的安全變得越來(lái)越重要。在今天進(jìn)行的一項(xiàng)Google活動(dòng)中，開(kāi)源專家探討了如何確保開(kāi)源軟件的安全。援引外媒 Dark Reading 報(bào)道，這些討論的話題還包括公司應(yīng)該優(yōu)先考慮什么，以及采取什么樣的措施來(lái)改善開(kāi)源安全的現(xiàn)狀。

Synopsys 公司指出，平均每個(gè)軟件程序至少依賴 500 個(gè)開(kāi)源庫(kù)和組件，比 2 年前的 298 個(gè)依賴項(xiàng)增長(zhǎng)了 77%。一般軟件程序中超過(guò) 75% 的代碼由開(kāi)源庫(kù)和組件組成，84% 的應(yīng)用程序至少有一個(gè)漏洞，平均每個(gè)應(yīng)用程序有 158 個(gè)。

在關(guān)于開(kāi)源供應(yīng)鏈安全的演講中，Google軟件工程師 Dan Lorenc 建議公司了解他們?cè)谑褂檬裁?。他承認(rèn)，這一步看起來(lái)很明顯，但并不容易，特別是當(dāng)開(kāi)發(fā)者開(kāi)始創(chuàng)建和發(fā)布工件，并將工件與其他工件結(jié)合起來(lái)時(shí)。當(dāng)一個(gè)漏洞被報(bào)告時(shí)，不管是無(wú)意的還是惡意的，不知道什么在操作，都會(huì)讓你陷入困境。

治理和不斷審計(jì)新的依賴關(guān)系，無(wú)論是內(nèi)部還是開(kāi)放源碼，都是保障軟件的有效策略。Lorenc 補(bǔ)充說(shuō)，這種控制也可以延伸到你使用的組件，并指出這對(duì)大多數(shù)公司來(lái)說(shuō)也是一個(gè)困難的步驟。此外，要驗(yàn)證二進(jìn)制包的內(nèi)容是很困難的，但也不一定非要全盤(pán)否定。另一方面，生成和編譯代碼是開(kāi)放源碼的一部分。知道你可以在需要時(shí)進(jìn)行構(gòu)建是成功的一半，表明你對(duì)進(jìn)入你的應(yīng)用程序的代碼有控制權(quán)。

Lorenc 強(qiáng)調(diào)，企業(yè)應(yīng)該有計(jì)劃地處理零日漏洞和已知問(wèn)題。零日漏洞通常情況下會(huì)稱為頭條更容易受到關(guān)注，企業(yè)應(yīng)該有一個(gè)應(yīng)急策略來(lái)迅速修補(bǔ)它們。此外，一些老的漏洞由于關(guān)注度不高而始終沒(méi)有得到修復(fù)。在運(yùn)行各種環(huán)境和系統(tǒng)的大型組織中，這些問(wèn)題很容易被忽視。