件的威胁情报由不同的组织(如开源社区、开源基金会、开源项目方)
共同贡献分享。开源威胁情报呈现无统一组织,散落在互联网海量信
息中。需建立对已知开源成分及依赖链条漏洞威胁情报的实时监控跟
踪机制,搜集多维度多渠道的开源威胁情报,并针对企业、机构已有
的开源成分清单和图谱,在第一时间内将有效的开源威胁情报同步给
相关责任人。
(五)弃用过老的开源组件和版本,及时安全更新。较老的组件
往往存在大量的安全漏洞,也存在软件供应链安全隐患(如停止运维
更新升级)。在使用开源软件,应关注其热门程度、受欢迎趋势、社
区口碑、更新时效性等因素。应选择较新的安全的开源组件,并做到
及时安全更新,降低开源安全风险。
(六)使用左移安全工具。在测试或者交付验收环节,针对开源
安全风险进行处臵往往会投入更大的工作量和成本。通过使用左移开
源安全治理工具的方式,将开源安全风险治理集成到软件开发全生命
周期过程中。在需求设计、组件选型、编码集成等早期研发过程中及
早发现开源风险问题,从而降低开源安全治理成本。
24 |
|
