写点什么
开源盛行,是时候关注供应链安全问题了

开源盛行,是时候关注供应链安全问题了

策划: 赵钰莹

如今,不使用开源代码来构建软件几乎是不可能的。但所有这些自由软件都可能有额外的安全风险。企业正在努力解决如何最好地保护他们的开源软件供应链。但还有一个问题:许多公司甚至不知道他们有多少开放源码应用程序或者其中有什么。

之前发生的 Log4j 安全漏洞,开源代码维护者俄乌战争期间因反俄给 node-ipc 库中添加恶意代码等事件造成了极其不好的影响,再比如 GitHub 前段时间封停了俄罗斯开发者的一些账号,理由是这些账号的使用者受雇于被美国制裁的一些公司。这种无征兆的 GitHub 账号访问限制影响到了一些开源项目的正常运行。提高开源软件供应链的安全性迫在眉睫。

从10万npm用户信息被窃这件事情可以学到什么?
从 10 万 npm 用户信息被窃这件事情可以学到什么?

如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决?

规避代码被“投毒”,开源软件供应链安全面面观
规避代码被“投毒”,开源软件供应链安全面面观

开源软件供应链当前面临的主要是两大风险:一是安全风险,一是许可证、版权、专利和出口管制等方面的法律合规风险。

从GitHub封停开发者账号聊开源软件供应链安全性
从 GitHub 封停开发者账号聊开源软件供应链安全性

开源软件供应链到底是一条怎样的链?

Go 如何减少供应链攻击?
Go 如何减少供应链攻击?

无论采用何种过程或技术手段,每个依赖性都必然存在着相互信任的关系。但是,Go 的工具和设计帮助降低了所有阶段的风险。

Kubernetes将大量采用Sigstore来保护开源生态系统
Kubernetes 将大量采用 Sigstore 来保护开源生态系统

Kubernetes 1.24 是第一个正式使用 Sigstore 的版本,能够无缝验证签名,以防止 560 万开发者社区遭受供应链攻击

没有更多了
开源盛行,是时候关注供应链安全问题了_技术洞察_技术趋势_大厂实践_InfoQ精选专题