Google 提出了一個應對開源軟件漏洞的框架 —— “了解，預防，修復”。

隨著開源軟件的流行，開源軟件的安全性也越來越受到重視。然而，在實踐中卻很難形成一套針對開源軟件安全問題的完善解決方案，因為其涉及到很多方面，包括供應鏈、依賴管理、身份和構建管道等等。對此，Google 提出了一個應對開源軟件漏洞的框架，即“了解，預防，修復”。該框架圍繞形成原數據和身份標準的共識、增強關鍵軟件的透明度和審閱來展開，并將重點工作分為三類，即了解軟件中的漏洞、防止添加新漏洞以及修復或者刪除漏洞。

[[380886]]

在這些工作中，該框架提出了一些具體措施，比如確定基礎結構和行業標準以構建漏洞數據庫、準確跟蹤軟件依賴關系、通過 OpenSSF 的 Security Scorecards 項目來為開源軟件安全系數評分并幫助防御域名搶注攻擊、優先修復廣泛使用的版本等等。

此外，該框架特別強調，對于“關鍵”開源項目(比如 OpenSSL 或密鑰加密庫之類的軟件)，應該采用更嚴格的標準，包括不對關鍵軟件進行單方面更改、對關鍵軟件參與者的身份驗證、增加軟件工作透明度以及增強構建過程可信度。

關于該“了解，預防，修復”框架詳細內容，可以前往其官方博客查閱。

本文轉自OSCHINA

本文標題：Google 提出應對開源軟件漏洞的框架：了解、預防、修復

本文地址：https://www.oschina.net/news/129060/google-framework-know-prevent-fix