如何保护您的开源供应链

Andrew 2020-10-11
专栏 - 资讯 发布于 2020-10-11 10:17:14 阅读 37 评论 0

如何保护您的开源供应链

您使用的任何软件(开源或专有)中的99%以上都包含开源组件。这些组件中有些带有供应商,他们愿意在发生问题时向您赔偿。对于其他组件,您可能可以通过Tidelift之类的公司获得订阅,以确保稳定的维护。

但是随后出现了类似Heartbleed错误的事情,这给OpenSSL带来了一个漏洞,而您却想知道:“我该如何防止这种情况发生?” 简短但充满希望的答案是:您办不到。并不是的。不完全的。正如Chef and System Initiative的联合创始人Adam Jacob在最近的《开源商业》采访中所强调的那样,真正的问题是“您对供应链中断的反应有多快?” 而不是如何避免此类干扰。

开放源码安全:始终与流程有关

在历史上,开源交付的漏洞(或“bug”)比私有软件要少。这很直观:将展示其代码的开发人员更有可能投入必要的时间来为公众使用做好准备。

但是,开源安全性的真正秘诀不是没有bug的代码,这是不可能的。不,开源安全性来自披露。因为任何人都可以看到代码,所以所有人也都可以看到任何问题。或者,即使在漏洞被破坏之前未发现漏洞,代码的开放性也使解决问题变得更加容易。因此,难怪研究公司WhiteSource发现85%的开源漏洞已被披露,并且在披露时已经有修复程序。

因此, Jacob说,因此在确定使用哪些开源组件时,应将重点放在解决不可避免的“供应链”问题上的过程:

问题是,您对供应链中断的反应有多快?因为这才是管理供应链的真正意义所在。是的,有一个积极的部分[包括]审查是否承担依赖关系。但是,当供应链出现问题时,问题就变成了“我们可以多快地解决问题?我们可以多快地修复故障并把它推向世界?” 这确实是您需要重点关注的地方。不是您不专注于预防。当然可以但是您无法阻止它,因为供应链是如此之大,而您却并非如此。

请注意开源项目的上游贡献

如果您是围绕这些开源组件销售服务或支持的供应商,Jacob继续说,您最终承诺的是“我是对此做出反应的人,并且我将比您(客户)更快地做出反应,以获得解决方案。”

这就是为什么(在同一次采访中)红帽产品经理Scott McCarty强调了上游项目对开源项目的重要性。(“上游贡献”仅意味着将贡献返回到代码的主要来源。)McCarty说,上游贡献并不夸张。不,它们只是“向客户表达您在供应链中有足够的参与”的一种方式,以便能够在不可避免地出现问题时照顾他们。

本质上,这并不是“支持”,尽管有时会这样。更确切地说,该产品具有以快速交付修补程序的方式影响开源项目的能力,如果供应商有上游贡献者,这将更容易。McCarty指出,这种贡献本来就是自私的,但并不是以某种“坏”的方式。不,正是这种个人利益激发了更多的贡献,这有助于供应商更好地照顾客户,他们用收入偿还了青睐,从而推动了更多的贡献。这是一个良性的开源安全周期。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!