报告题目
【博客阅读】Know, Prevent, Fix: A framework for shifting the discussion around vulnerabilities in open source
【博客来源】
http://feedproxy.google.com/~r/GoogleOnlineSecurityBlog/~3/6OwNXmk69LQ/know-prevent-fix-framework-for-shifting.html
【工具介绍】Open Source Insights
【工具来源】https://deps.dev/
报告人:张永毅
开源软件的安全性理所当然地引起了业界的关注,但是解决方案需要在执行过程中的挑战和合作方面达成共识。问题是复杂的,有许多方面需要涵盖:供应链、依赖管理、身份和构建管道。当问题能很好的框架化时,解决方案就会很快形成。对此Google提出了一个框架( '知道、预防、修复'),用于业界如何考虑开源和具体领域中的漏洞,以首先解决以下问题:(1)关于元数据和身份标准的共识:作为一个行业,我们需要在解决这些复杂问题的基础上达成共识。关于元数据细节和身份的协议将实现自动化,减少更新软件所需的工作量,并最大限度地减少漏洞的影响。(2)提高关键软件的透明度和审查:对于对安全至关重要的软件,我们需要商定开发流程,以确保充分的审查,避免单方面的变化,并透明地导致定义良好、可核查的正式版本。
一个开源软件出现安全问题,会导致依赖它的其他开源软件受到影响,这种层层关联的依赖性,造成了非常隐蔽和复杂的攻击面。Google发布了一个全新的实验性开源依赖性分析工具Open Source Insights,可以帮助开发人员发现他们使用的开源包/库的依赖项以及他们当前存在的已知安全漏洞。目前已支持 go/cargo/npm/Maven/PyPI 等市场的开源组件。
时 间:2022-9-26,8.20-9.20
会议地点:天河楼213会议室
原文始发于微信公众号(ipasslab):学术活动【博客阅读】【工具介绍】Open Source Insights
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论