OSCS开源软件供应链安全社区上线,携手开源社区共同提升开源安全质量
现如今,开发者们使用开源代码来构建软件几乎不可避免。但所有这些外部引入的依赖都可能带来额外的软件安全风险。
调研报告显示,84% 代码库至少存在一个开源组件安全漏洞,其中平均每个代码库存在 158 个开源组件漏洞,65% 的代码库存在许可冲突,发现的漏洞平均是已存在 2.2 年。开源软件存在如此多的安全漏洞,这对于应用开源软件的企业和个人来讲,都是巨大的安全隐患。
事实上,大家也都在努力保护他们的开源软件供应链安全,但是,又面临一个问题,他们甚至都不知道他们的软件使用了哪些开源组件,其中又包含了哪些代码信息;
OSCS社区主要发起人章华鹏认为:对于所有的开发者来说,治理开源软件供应链安全有4个关键点
1、所有开源软件应该明确SBOM清单(软件物料清单),并能够公开公示;
2、开源软件SBOM清单一旦发生变更要实时进行安全漏洞和合规检测;
3、社区一旦曝出新的安全威胁,也需要及时的去检测开源项目是否受到影响
4、一旦发现存在新的安全漏洞和合规风险,应该及时修复并发布安全版本及安全通告;
在这样的背景下,一些来自社区的开源开发者们发起了OSCS开源社区计划,该计划致力于帮助每一个开源项目变的更安全,也让每一个开发者能够更安全的使用开源项目,促进开源生态的健康发展。
OSCS能做什么?
1、在社区展示收录的组件,引用了哪些依赖,并提供详细的SBOM清单进行参考。
2、使用墨菲安全的技术能力,对收录的组件/项目进行漏洞扫描,并提供详细的漏洞报告;
3、用户可以订阅使用的开源组件/项目动态,一旦发现存在安全风险,将会通知下游使用项目/组件的用户,及时进行代码修复;
4、加入开源守护者计划:OSCS与墨菲安全达成战略合作,为每一个加入开源守护者计划的开发者,免费提供墨菲安全的漏洞检测修复能力,让每一个开发者能快速检测修复项目存在的漏洞,修复完成之后还会得到OSCS的认证徽章;
写在最后,希望每个开发者都能拥抱开源,让开源生态变的更安全。
OSCS开源软件供应链安全社区上线,携手开源社区共同提升开源安全质量相关推荐
- 阿里云原生开源大家族加入中科院软件所开源软件供应链点亮计 - 暑期 2021
来源 | 阿里巴巴云原生公众号 2021 年,由中国开源软件推进联盟 COPU 牵头发布了<2021 中国开源发展蓝皮书>,涵盖当今全球开源的总体情况分析.开发者分析.项目分析.领域案例, ...
- 刚刚GitHub 收购 npm,旨在提升开源软件供应链安全
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 刚刚,GitHub 在官网上宣布GitHub 已签署收购 npm 的协议.全文编译如下: 我很高兴地宣布,GitHub 已签署npm ...
- Node-ipc 热门包作者投毒“社死‘’,谁来保护开源软件供应链安全?
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- 我所理解的开源软件供应链安全
供应链与断供 隐喻会帮助人,也会误导人. 当我们谈到"供应链"时,会产生哪些联想?环环相扣?缺一不可?掉链子?当我们这样去思考软件供应链,或者开源软件供应链时,同样的"意 ...
- Linux 基金会发布《开源软件供应链安全报告》
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 近期,Linux 基金会发布<开源软件供应链安全报告>,探索当前影响软件供应链的安全性和可靠性问题,并找到从何处着手以及如 ...
- 再谈“开源软件供应链安全”
缘起 之前写过一篇文章<我所理解的开源软件供应链安全>,当时的情况,还没有出现一些值得探讨的,堪称紧迫的热点事件,所以我也仅仅是泛泛而谈,到最后留了一句话:「我的提议是:不再提" ...
- 大咖说开源|谭中意:如何构建高效/安全/合规的开源软件供应链和国际开源合规标准?...
点击上方"开源社"关注我们 | 作者:叶雨秋 | 编辑:沈于蓝 | 设计:宋传琪.朱亿钦 开源供应链点亮计划 - 暑期系列是由中科院软件所和 openEuler 社区共同举办的一项 ...
- NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击...
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 重磅|棱镜七彩同CNCERT联合发布开源软件供应链安全风险研究报告了!!
(如需报告原文PDF版,请关注微信公众号"棱镜七彩",回复"报告"获取原文下载方式) 近日,棱镜七彩同CNCERT再次合作并发布了开源软件供应链安全风险研究报告 ...
最新文章
- leangoo领歌工作台增加卡片动态功能
- javascript-Global与Math对象
- 关于Linux的目次结构及干系分区成绩
- JavaWeb学习总结第四篇--Servlet开发
- 【转】C/C++中宏使用总结
- 高等数学(第七版)同济大学 习题1-9 个人解答
- 2019年电赛H题电磁炮实录
- 腾讯云IM Web端支持发送语音消息
- 几种智能机器人室内定位方法对比
- 融云技术分享:融云安卓端IM产品的网络链路保活技术实践
- 201771010112罗松《面向对象程序设计(java)》第十二周学习总结
- Android两种方式实现横向滚动图标+指示器
- 对宇宙起源的一个现代猜想-重生而非诞生
- 1、RL Problem
- 小姐姐用一周的时间,偷偷带你学Python,从小白到进阶,全站式保姆的Python基础教程导航帖(已完结)
- OAuth2.0,CodeChallenge的生成问题
- php种子怎么用迅雷下载链接,php实现把url转换迅雷thunder资源下载地址的方法
- 上岸学长学姐留下的24个考研秘诀
- 基于bitmap实现用户画像的标签圈人功能
- 国动车CTCS-3列控系统和欧洲列车控制系统(ERTMS)视频对比