據Gartner的調查顯示，99%的組織在其信息系統中使用了開源軟件，而Sonatype對開源軟件使用情況的調查結果顯示，每年每家企業平均下載5000多個開源軟件。

隨著開源技術的生態化，企業在IT建設、安全建設中往往引用大量開源軟件。但開源軟件真的安全嗎?

開源項目的維護者在安全意識上和技術能力上參差不齊，導致快速傳播的開源軟件本身存在風險，再加上大多數的開發者往往更關注自己開發的代碼的安全性，忽略了開源組件的安全質量，甚至一些企業或開發人員并不會對開源軟件的代碼進行安全測試，從而埋下了安全隱患，甚至引發供應鏈攻擊的海嘯。

開源安全漏洞該如何應對?谷歌提出了一個名為“知悉、預防、修復”的新框架。

• 達成關于元數據和身份標準的共識：就基礎知識達成共識，且關于元數據詳細信息和身份的協議將實現自動化，從而減少更新軟件所需的工作量，使漏洞的影響最小化。
• 增強對關鍵軟件的透明度和審閱：需要在對安全至關重要的軟件的開發流程上達成共識，以確保進行充分的審查，且透明地生成定義明確、可驗證的正式版本。

該框架有望深入了解軟件中的現有漏洞、防止引入新的漏洞，并且可以實施修復或剔除漏洞。

漏洞管理的總體目標

關鍵開源軟件的特定目標

更多細節可以點擊原博客了解：

https://opensource.googleblog.com/2021/02/know-prevent-fix-framework-for-shifting-discussion-around-vulnerabilities-in-open-source.html