开源代码安全 | 微软是如何应对开源代码安全问题的?
微软公司在全球都享有盛名,拥有庞大的员工数量,其中包括了约8.5万名软件开发人员。同时,这也带来了相当多的开源代码的引入。为了保证这些开源软件包的安全,他们需要一款报警准确、易于使用,并能为修复提供可行性建议的工具。阅读本篇文章,您能了解到微软选择了什么样的工具,以及为何选择。
龙智作为DevSecOps解决方案提供商、Mend(原WhiteSource)授权合作伙伴,始终关注开源代码安全问题,致力于帮助您将“安全”理念真正落地在DevOps的实践中。欢迎联系我们,了解如何通过SCA工具Mend解决开源代码安全问题。
微软是全球最著名的公司之一。主要生产计算机软件、消费类电子产品和个人电脑,提供如云服务等相关服务。微软在全球拥有18.1万名员工,其中包括约8.5万名软件开发人员。
面临的挑战
微软的开发人员使用了很多开源软件。在微软的整个代码库中,有超过8万个不同的开源软件包被使用了超过1100万次。
为了帮助微软的85,000名开发人员能够安心地使用开源软件,微软1ES团队——一个选择和管理微软开发人员所使用的工具的团队,负责寻找最好的开源软件安全工具。他们想要一个非常准确、易于使用,并能够为修复脆弱的开源包提供可行性建议的工具。
微软为什么选择Mend解决方案
微软选择Mend有几个原因:
- **高精准度。**微软1ES团队的工程总监马格努斯·赫德伦德表示:“让开发人员失去信任最简单的方式就是给他们一个误报信息。如果出现误报的情况,开发人员就不会再使用这个工具。现在,微软依靠Mend来提供高质量的建议,而且误报率非常低。”
- **易用性。**马格努斯·赫德伦德说:“我们将修补漏洞检测直接集成到开发人员的工作流程中。开发人员无需做任何事,Mend就会自动扫描漏洞,并通知他们哪些代码易受攻击。”
- 高效的补救建议。“识别这些漏洞,并告诉开发人员他们面临这个问题,这都是很有用的,但如果不告诉他们如何修复这个问题,他们就很难提高交付质量。”如果没有补救建议,只是提高没人能处理的警报的数量,这毫无意义。Mend提供的详细补救建议,让微软工程师能够快速将他们的软件包升级到更强健的版本。”
“对我们来说,与一家紧跟行业新趋势的公司合作非常重要,要确保他们的数据是准确的。但最重要的方面之一是我们得到的数据需是可操作的。我们需要得到一套系统性的、正确的建议。”
Mend给微软带来了什么?
微软1ES安全工具组的经理布莱恩·沙利文说:“Mend在帮助识别我们哪里有潜在风险或不安全的开源软件,并尽早解决这些问题方面发挥着不可或缺的作用。我们依靠Mend提供出色的补救指导。补救指导对于帮助开发人员每次都正确地修复问题非常重要。”
微软1ES团队的主管普南·古普塔说:“与Mend公司合作是一个正确的决定。当我们有了系统的正确建议时,感觉更安心了。Mend所能提供的已经超出了我们的需求,它扩展到了我们想要覆盖的生态系统中。总的来说,与Mend公司合作是一个伟大的决定。”
Mend——您编码,我修复
Mend,原 WhiteSource,可以轻松地保护开发人员创造的内容。Mend以其独特的方式消除企业对应用程序安全的负担,让开发团队能够更快地交付高质量、安全的代码。在满足复杂和大规模应用程序安全的需求方面,Mend的口碑一向很好,所以要求严苛的软件开发人员都信赖Mend。Mend拥有超过1000家客户,其中包括25%的《财富》100强公司。
开源代码安全 | 微软是如何应对开源代码安全问题的?相关推荐
- 微软开源 纸牌游戏代码_5个适用于Linux的开源纸牌和棋盘游戏
微软开源 纸牌游戏代码 传统上,游戏是Linux的弱点之一. 近年来,由于Steam,GOG和其他将商业游戏引入多种操作系统的努力,这种情况有所改变,但是其中许多游戏不是开源的. 当然,可以在开源操作 ...
- 微软老照片AI修复开源代码运行错误
微软老照片AI修复开源代码运行错误 微软开源代码:https://github.com/microsoft/Bringing-Old-Photos-Back-to-Life 按照说明文件安装必须的第三 ...
- 微软开源 Sketch2Code,UI 草图转成 HTML 代码
(点击上方公众号,可快速关注) #原创整理:前端大全(id: FrontDev) 微软 AI 实验室最近开源了一个新的 AI 辅助工具 Sketch2Code.正如其名,Sketch2Code 可以把 ...
- 开源软件使用的风险和应对方法
目录 一.开源软件的漏洞 1.1 发现漏洞并评估影响范围 1.1.1 开源软件清单和SBOM 1.1.2 如何得到软件产品完整的SBOM 1.1.3 通过SBOM识别漏洞影响范围 1.1.4 漏洞感知 ...
- 开源 .Net 让微软拥有更多开发者
2019独角兽企业重金招聘Python工程师标准>>> 不管微软积极拥抱开源背后的想法是什么,或许是想通过开源销售更多的软件或者云服务,也有可能是想吸引更多的开发者到微软平台上,但是 ...
- 微软推出新逆天开源语言Bosque,告别 for 循环,提高开发效率!
拥抱开源的微软近日又为开发者带来好消息:在受 TypeScript 语法类型与 ML 和 Node/JavaScript 语义启发下,微软推出了全新的开源编程语言 Bosque. Bosque 创作者 ...
- 爱可可推荐!关于竞赛思路,方法和代码实践,数据竞赛Baseline开源分享!
数据竞赛中baseline是最入门的分享, 它不仅有思路.方法还有内容: 或许你与Top选手的差距就是一个baseline! 01 项目介绍 如果你是数据竞赛的初学者.爱好者,比赛的baseline不 ...
- 微软认真聆听了开源 .NET 开发社区的炮轰: 通过CLI 支持 Hot Reload 功能
微软近日激怒了开源.NET社区,起因是它删除了开源.NET的一项旗舰功能,以提升Visual Studio 的吸引力,尤其是针对与Visual Studio颇有渊源的跨平台源代码编辑器Visual S ...
- 拥抱开源!除了微软红帽,这些国际大厂你认识几个?
在上世纪 90 年代,开源操作系统 Linux 出现时,有能力自行安装使用的用户并不多.因此,早期开源社区和开源软件厂商的一大工作就是向用户售卖书籍,提供初始的技术支持.比如基于 Linux 的内核, ...
最新文章
- filter和interceptor的区别
- 高速串行自同步方式介绍及原理
- PHP函数 -字符串函数
- 2013年3月百度之星A题
- 导致Android手机崩溃的壁纸,使用错误的壁纸会使你的Android手机崩溃
- 河南王牌计算机专业,河南计算机专业实力突出的7所大学,郑大位列次席,榜首实至名归...
- NAT应用于HSRP环境
- 【小记事】电脑命令行开WiFi
- 相比 C 、C++,Go 为什么不火?
- K近邻模型(k-NN)
- 程序员如何保护好自己的发际线
- 刀片系统服务器优点,刀片服务器是什么?介绍ibm刀片服务器优点
- IDEA破解图文教程
- php查询快递,php查询快递的类
- Actor模型的本质:究竟是要解决什么问题
- Linkedin领英如何批量撤回邀请,突破加人限制
- 【转】从“致加西亚的信”看自行管理
- python语言中的单行注释语句_Python入门基础系列(五)——单行和多行注释
- http 返回码 405 解决方案之一
- android系统ime指令