Google 提出了一个应对开源软件漏洞的框架 —— “了解,预防,修复”。
随着开源软件的流行,开源软件的安全性也越来越受到重视。然而,在实践中却很难形成一套针对开源软件安全问题的完善解决方案,因为其涉及到很多方面,包括供应链、依赖管理、身份和构建管道等等。对此,Google 提出了一个应对开源软件漏洞的框架,即“了解,预防,修复”。该框架围绕形成原数据和身份标准的共识、增强关键软件的透明度和审阅来展开,并将重点工作分为三类,即了解软件中的漏洞、防止添加新漏洞以及修复或者删除漏洞。
在这些工作中,该框架提出了一些具体措施,比如确定基础结构和行业标准以构建漏洞数据库、准确跟踪软件依赖关系、通过 OpenSSF 的 Security Scorecards 项目来为开源软件安全系数评分并帮助防御域名抢注攻击、优先修复广泛使用的版本等等。
此外,该框架特别强调,对于“关键”开源项目(比如 OpenSSL 或密钥加密库之类的软件),应该采用更严格的标准,包括不对关键软件进行单方面更改、对关键软件参与者的身份验证、增加软件工作透明度以及增强构建过程可信度。
关于该“了解,预防,修复”框架详细内容,可以前往其官方博客查阅。
本文转自OSCHINA
本文标题:Google 提出应对开源软件漏洞的框架:了解、预防、修复
本文地址:https://www.oschina.net/news/129060/google-framework-know-prevent-fix
本文转载自微信公众号「程序员历小冰」,转载本文请联系程序员历小冰公众号。 疫...
struts json 类型异常返回到js弹框问题解决办法 当struts 框架配置了异常时 例如...
下面是ajax代码和Controller层代码,期初以为是后台程序写错了。 $("#sourcefile...
微软官方博客于 2 月初再次发布提示,将会在 3 月 9 日停止对经典版 Edge 浏览器...
文章目录 关系数据库 关系数据库简介 关系数据结构及形式化定义 关系 关系模式 ...
在 2021 年,人们喜欢 Linux 的理由比以往任何时候都多。在这个系列中,我将分享...
php实现微信支付 微信支付文档地址: https://pay.weixin.qq.com/wiki/doc/api/i...
前言 我们在使用ajax异步的提交多选框得到需要操作的对象的id,这时我们可以把每...
背景 该问题来自某客户,据描述,他们在部署 MySQL 主从复制时,有时候仅在主库...
六、XML展望 任何一项新技术的产生都是有其需求背景的,XML的诞生是在HTML遇到不...