开源代码安全 | 微软是如何应对开源代码安全问题的？

微软公司在全球都享有盛名，拥有庞大的员工数量，其中包括了约8.5万名软件开发人员。同时，这也带来了相当多的开源代码的引入。为了保证这些开源软件包的安全，他们需要一款报警准确、易于使用，并能为修复提供可行性建议的工具。阅读本篇文章，您能了解到微软选择了什么样的工具，以及为何选择。

龙智作为DevSecOps解决方案提供商、Mend（原WhiteSource）授权合作伙伴，始终关注开源代码安全问题，致力于帮助您将“安全”理念真正落地在DevOps的实践中。欢迎联系我们，了解如何通过SCA工具Mend解决开源代码安全问题。

微软是全球最著名的公司之一。主要生产计算机软件、消费类电子产品和个人电脑，提供如云服务等相关服务。微软在全球拥有18.1万名员工，其中包括约8.5万名软件开发人员。

面临的挑战

微软的开发人员使用了很多开源软件。在微软的整个代码库中，有超过8万个不同的开源软件包被使用了超过1100万次。

为了帮助微软的85,000名开发人员能够安心地使用开源软件，微软1ES团队——一个选择和管理微软开发人员所使用的工具的团队，负责寻找最好的开源软件安全工具。他们想要一个非常准确、易于使用，并能够为修复脆弱的开源包提供可行性建议的工具。

微软为什么选择Mend解决方案

微软选择Mend有几个原因：

**高精准度。**微软1ES团队的工程总监马格努斯·赫德伦德表示：“让开发人员失去信任最简单的方式就是给他们一个误报信息。如果出现误报的情况，开发人员就不会再使用这个工具。现在，微软依靠Mend来提供高质量的建议，而且误报率非常低。”
**易用性。**马格努斯·赫德伦德说：“我们将修补漏洞检测直接集成到开发人员的工作流程中。开发人员无需做任何事，Mend就会自动扫描漏洞，并通知他们哪些代码易受攻击。”
高效的补救建议。“识别这些漏洞，并告诉开发人员他们面临这个问题，这都是很有用的，但如果不告诉他们如何修复这个问题，他们就很难提高交付质量。”如果没有补救建议，只是提高没人能处理的警报的数量，这毫无意义。Mend提供的详细补救建议，让微软工程师能够快速将他们的软件包升级到更强健的版本。”

“对我们来说，与一家紧跟行业新趋势的公司合作非常重要，要确保他们的数据是准确的。但最重要的方面之一是我们得到的数据需是可操作的。我们需要得到一套系统性的、正确的建议。”

Mend给微软带来了什么？

微软1ES安全工具组的经理布莱恩·沙利文说：“Mend在帮助识别我们哪里有潜在风险或不安全的开源软件，并尽早解决这些问题方面发挥着不可或缺的作用。我们依靠Mend提供出色的补救指导。补救指导对于帮助开发人员每次都正确地修复问题非常重要。”

微软1ES团队的主管普南·古普塔说：“与Mend公司合作是一个正确的决定。当我们有了系统的正确建议时，感觉更安心了。Mend所能提供的已经超出了我们的需求，它扩展到了我们想要覆盖的生态系统中。总的来说，与Mend公司合作是一个伟大的决定。”

Mend——您编码，我修复

Mend，原 WhiteSource，可以轻松地保护开发人员创造的内容。Mend以其独特的方式消除企业对应用程序安全的负担，让开发团队能够更快地交付高质量、安全的代码。在满足复杂和大规模应用程序安全的需求方面，Mend的口碑一向很好，所以要求严苛的软件开发人员都信赖Mend。Mend拥有超过1000家客户，其中包括25%的《财富》100强公司。