引言
推进软件供应链安全是趋势
引入开源代码面临挑战
挑战一:管理层难以把控开源软件的使用
挑战二:推进软件供应链安全管理周期长
挑战三:软件供应链安全管理头绪多见效慢
涤故纳新,首先建立可信开源仓库
可信开源仓库是软件供应链的重要环节
首先建立可信开源仓库的好处
建立可信开源仓库的两种路径
筛选可信开源软件的原则
一、 安全性
1、 漏洞风险:是优先考虑的指标,如果存在高危/超危以上级别的漏洞,需要慎重考虑,等待其修复漏洞后再收录;
2、 依赖漏洞:一些组件依赖于其他开源组件,需要分析其依赖组件是否存在漏洞,依赖漏洞与源码漏洞应同等重视,同样处理;
3、 漏洞修复:如果一些组件存在高危以上级别的安全漏洞,且较长时间没有修复,说明社区的支持维护能力有问题,慎用;已经发现的依赖组件漏洞,也应一并考虑为其生态组成,慎用;
4、 安全政策和执行,社区有完整的安全问题处理流程,以及处理记录;
三、 可维护性
1、 社区活跃性:通过近一段时间代码提交、合并、提问等行为判定。
2、 产品发布和更新:社区是否能够保持一定的产品发布频率;最新近一次版本发布是什么时间。
3、 文档完整性,关于社区产品或项目的指导文件是否足够丰富。
无论企业自身或者第三方都需要根据这些规则,对加入可信开源仓库的组件进行筛选和过滤。
总结
作者简介
龙文选,现任奇科厚德副总经理,Linux基金会亚太区布道者,资深开源行业专家,16年以上开源行业经验。曾担任Linux基金会超级账本中国区负责人,黑鸭子软件中国区技术经理等职。