现如今,开发者们使用开源代码来构建软件几乎不可避免。但所有这些外部引入的依赖都可能带来额外的软件安全风险。

调研报告显示,84% 代码库至少存在一个开源组件安全漏洞,其中平均每个代码库存在 158 个开源组件漏洞,65% 的代码库存在许可冲突,发现的漏洞平均是已存在 2.2 年。开源软件存在如此多的安全漏洞,这对于应用开源软件的企业和个人来讲,都是巨大的安全隐患。

事实上,大家也都在努力保护他们的开源软件供应链安全,但是,又面临一个问题,他们甚至都不知道他们的软件使用了哪些开源组件,其中又包含了哪些代码信息;

OSCS社区主要发起人章华鹏认为:对于所有的开发者来说,治理开源软件供应链安全有4个关键点

1、所有开源软件应该明确SBOM清单(软件物料清单),并能够公开公示;

2、开源软件SBOM清单一旦发生变更要实时进行安全漏洞和合规检测;

3、社区一旦曝出新的安全威胁,也需要及时的去检测开源项目是否受到影响

4、一旦发现存在新的安全漏洞和合规风险,应该及时修复并发布安全版本及安全通告;

在这样的背景下,一些来自社区的开源开发者们发起了OSCS开源社区计划,该计划致力于帮助每一个开源项目变的更安全,也让每一个开发者能够更安全的使用开源项目,促进开源生态的健康发展。

OSCS能做什么?

1、在社区展示收录的组件,引用了哪些依赖,并提供详细的SBOM清单进行参考。

2、使用墨菲安全的技术能力,对收录的组件/项目进行漏洞扫描,并提供详细的漏洞报告;

3、用户可以订阅使用的开源组件/项目动态,一旦发现存在安全风险,将会通知下游使用项目/组件的用户,及时进行代码修复;

4、加入开源守护者计划:OSCS与墨菲安全达成战略合作,为每一个加入开源守护者计划的开发者,免费提供墨菲安全的漏洞检测修复能力,让每一个开发者能快速检测修复项目存在的漏洞,修复完成之后还会得到OSCS的认证徽章;

写在最后,希望每个开发者都能拥抱开源,让开源生态变的更安全。

OSCS开源软件供应链安全社区上线,携手开源社区共同提升开源安全质量相关推荐

  1. 阿里云原生开源大家族加入中科院软件所开源软件供应链点亮计 - 暑期 2021

    来源 | 阿里巴巴云原生公众号 2021 年,由中国开源软件推进联盟 COPU 牵头发布了<2021 中国开源发展蓝皮书>,涵盖当今全球开源的总体情况分析.开发者分析.项目分析.领域案例, ...

  2. 刚刚GitHub 收购 npm,旨在提升开源软件供应链安全

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 刚刚,GitHub 在官网上宣布GitHub 已签署收购 npm 的协议.全文编译如下: 我很高兴地宣布,GitHub 已签署npm ...

  3. Node-ipc 热门包作者投毒“社死‘’,谁来保护开源软件供应链安全?

     聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...

  4. 我所理解的开源软件供应链安全

    供应链与断供 隐喻会帮助人,也会误导人. 当我们谈到"供应链"时,会产生哪些联想?环环相扣?缺一不可?掉链子?当我们这样去思考软件供应链,或者开源软件供应链时,同样的"意 ...

  5. Linux 基金会发布《开源软件供应链安全报告》

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 近期,Linux 基金会发布<开源软件供应链安全报告>,探索当前影响软件供应链的安全性和可靠性问题,并找到从何处着手以及如 ...

  6. 再谈“开源软件供应链安全”

    缘起 之前写过一篇文章<我所理解的开源软件供应链安全>,当时的情况,还没有出现一些值得探讨的,堪称紧迫的热点事件,所以我也仅仅是泛泛而谈,到最后留了一句话:「我的提议是:不再提" ...

  7. 大咖说开源|谭中意:如何构建高效/安全/合规的开源软件供应链和国际开源合规标准?...

    点击上方"开源社"关注我们 | 作者:叶雨秋 | 编辑:沈于蓝 | 设计:宋传琪.朱亿钦 开源供应链点亮计划 - 暑期系列是由中科院软件所和 openEuler 社区共同举办的一项 ...

  8. NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击...

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

  9. 重磅|棱镜七彩同CNCERT联合发布开源软件供应链安全风险研究报告了!!

    (如需报告原文PDF版,请关注微信公众号"棱镜七彩",回复"报告"获取原文下载方式) 近日,棱镜七彩同CNCERT再次合作并发布了开源软件供应链安全风险研究报告 ...

最新文章

  1. leangoo领歌工作台增加卡片动态功能
  2. javascript-Global与Math对象
  3. 关于Linux的目次结构及干系分区成绩
  4. JavaWeb学习总结第四篇--Servlet开发
  5. 【转】C/C++中宏使用总结
  6. 高等数学(第七版)同济大学 习题1-9 个人解答
  7. 2019年电赛H题电磁炮实录
  8. 腾讯云IM Web端支持发送语音消息
  9. 几种智能机器人室内定位方法对比
  10. 融云技术分享:融云安卓端IM产品的网络链路保活技术实践
  11. 201771010112罗松《面向对象程序设计(java)》第十二周学习总结
  12. Android两种方式实现横向滚动图标+指示器
  13. 对宇宙起源的一个现代猜想-重生而非诞生
  14. 1、RL Problem
  15. 小姐姐用一周的时间,偷偷带你学Python,从小白到进阶,全站式保姆的Python基础教程导航帖(已完结)
  16. OAuth2.0,CodeChallenge的生成问题
  17. php种子怎么用迅雷下载链接,php实现把url转换迅雷thunder资源下载地址的方法
  18. 上岸学长学姐留下的24个考研秘诀
  19. 基于bitmap实现用户画像的标签圈人功能
  20. 国动车CTCS-3列控系统和欧洲列车控制系统(ERTMS)视频对比

热门文章

  1. 5G时代IDC数据中心经历变革,分布式云存储服务器将独占鳌头
  2. sql语句查询某字段中包含某值(模糊查找)
  3. jquery通过name,id名称获取当前value值
  4. 将IMYWebLoader添加到蚂蚁mpaas框架中引发的问题和解决的问题
  5. modprobe ipmi_si报错问题
  6. 迅雷2014C++研发笔试卷C解题分析
  7. 学习使用php实现无限极评论和无限极转二级评论解决方案
  8. msf后渗透之文件交互指令、上传下载文件、屏幕截图、键盘记录、创建账户、音频录像和提权(上)
  9. 设计模式----装饰模式
  10. 【Android】之【WebView】