为了帮助业界提升针对开源安全漏洞的应对能力,搜索巨头谷歌提出了一个名为“知悉、预防、修复”的新框架。相关工作主要围绕元数据、一致性标准、以及新的开发流程等方面而展开,以确保对基础结构的关键部分展开充分的代码审查。如此一来,该框架有望深入了解软件中的现有漏洞、防止引入新的缺陷、然后实施修复或剔除漏洞。
(来自:Google Open Source Blog)
其中一些具体的项目,包括了用于访问多个漏洞数据库、精准追踪软件依赖关系的标准架构。
漏洞管理的目标
开发者可据此了解使用新依赖关系的安全风险,以及向相关方予以适当通报、帮助其加速漏洞的发现与修复。
针对重要开源项目的特定目标建议
此外谷歌建议不要对“关键软件”实施任何单方面的修改,确保所涉及的代码能够接受原作者和其它审阅者的评估,以防对任何一方产生限制和不利影响。
感兴趣的朋友,可移步至谷歌开源博客查看全文(传送门)。