学术活动【博客阅读】【工具介绍】Open Source Insights

admin 2022年10月1日11:07:51安全工具评论7 views876字阅读2分55秒阅读模式

报告题目

【博客阅读】Know, Prevent, Fix: A framework for shifting the discussion around vulnerabilities in open source

【博客来源】

http://feedproxy.google.com/~r/GoogleOnlineSecurityBlog/~3/6OwNXmk69LQ/know-prevent-fix-framework-for-shifting.html

【工具介绍】Open Source Insights

【工具来源】https://deps.dev/

报告人:张永毅

开源软件的安全性理所当然地引起了业界的关注,但是解决方案需要在执行过程中的挑战和合作方面达成共识。问题是复杂的,有许多方面需要涵盖:供应链、依赖管理、身份和构建管道。当问题能很好的框架化时,解决方案就会很快形成。对此Google提出了一个框架( '知道、预防、修复'),用于业界如何考虑开源和具体领域中的漏洞,以首先解决以下问题:(1)关于元数据和身份标准的共识:作为一个行业,我们需要在解决这些复杂问题的基础上达成共识。关于元数据细节和身份的协议将实现自动化,减少更新软件所需的工作量,并最大限度地减少漏洞的影响。(2)提高关键软件的透明度和审查:对于对安全至关重要的软件,我们需要商定开发流程,以确保充分的审查,避免单方面的变化,并透明地导致定义良好、可核查的正式版本。

一个开源软件出现安全问题,会导致依赖它的其他开源软件受到影响,这种层层关联的依赖性,造成了非常隐蔽和复杂的攻击面。Google发布了一个全新的实验性开源依赖性分析工具Open Source Insights,可以帮助开发人员发现他们使用的开源包/库的依赖项以及他们当前存在的已知安全漏洞。目前已支持 go/cargo/npm/Maven/PyPI 等市场的开源组件。


时  间:2022-9-26,8.20-9.20

会议地点:天河楼213会议室


原文始发于微信公众号(ipasslab):学术活动【博客阅读】【工具介绍】Open Source Insights

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日11:07:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  学术活动【博客阅读】【工具介绍】Open Source Insights http://cn-sec.com/archives/1314965.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: