如今,不使用开源代码来构建软件几乎是不可能的。但所有这些自由软件都可能有额外的安全风险。企业正在努力解决如何最好地保护他们的开源软件供应链。但还有一个问题:许多公司甚至不知道他们有多少开放源码应用程序或者其中有什么。
之前发生的 Log4j 安全漏洞,开源代码维护者俄乌战争期间因反俄给 node-ipc 库中添加恶意代码等事件造成了极其不好的影响,再比如 GitHub 前段时间封停了俄罗斯开发者的一些账号,理由是这些账号的使用者受雇于被美国制裁的一些公司。这种无征兆的 GitHub 账号访问限制影响到了一些开源项目的正常运行。提高开源软件供应链的安全性迫在眉睫。
如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决?
开源软件供应链当前面临的主要是两大风险:一是安全风险,一是许可证、版权、专利和出口管制等方面的法律合规风险。
开源软件供应链到底是一条怎样的链?
无论采用何种过程或技术手段,每个依赖性都必然存在着相互信任的关系。但是,Go 的工具和设计帮助降低了所有阶段的风险。
Kubernetes 1.24 是第一个正式使用 Sigstore 的版本,能够无缝验证签名,以防止 560 万开发者社区遭受供应链攻击