隨著越來越多的公司在其軟件中依賴開源組件，保護這些組件的安全變得越來越重要。在今天進行的一項Google活動中，開源專家探討了如何確保開源軟件的安全。援引外媒 Dark Reading 報道，這些討論的話題還包括公司應該優先考慮什么，以及采取什么樣的措施來改善開源安全的現狀。

Synopsys 公司指出，平均每個軟件程序至少依賴 500 個開源庫和組件，比 2 年前的 298 個依賴項增長了 77%。一般軟件程序中超過 75% 的代碼由開源庫和組件組成，84% 的應用程序至少有一個漏洞，平均每個應用程序有 158 個。

在關于開源供應鏈安全的演講中，Google軟件工程師 Dan Lorenc 建議公司了解他們在使用什么。他承認，這一步看起來很明顯，但并不容易，特別是當開發者開始創建和發布工件，并將工件與其他工件結合起來時。當一個漏洞被報告時，不管是無意的還是惡意的，不知道什么在操作，都會讓你陷入困境。

治理和不斷審計新的依賴關系，無論是內部還是開放源碼，都是保障軟件的有效策略。Lorenc 補充說，這種控制也可以延伸到你使用的組件，并指出這對大多數公司來說也是一個困難的步驟。此外，要驗證二進制包的內容是很困難的，但也不一定非要全盤否定。另一方面，生成和編譯代碼是開放源碼的一部分。知道你可以在需要時進行構建是成功的一半，表明你對進入你的應用程序的代碼有控制權。

Lorenc 強調，企業應該有計劃地處理零日漏洞和已知問題。零日漏洞通常情況下會稱為頭條更容易受到關注，企業應該有一個應急策略來迅速修補它們。此外，一些老的漏洞由于關注度不高而始終沒有得到修復。在運行各種環境和系統的大型組織中，這些問題很容易被忽視。