共享直播间系统
开源软件的广泛应用催生了日渐增多的开源软件供应链攻击,与普通供应链攻击不同,开源软件拥有更长的“信任链”和更大的影响力,因此导致的结果之一就是破坏性更大。然而大部分开发者或组织在使用新的开源项目依赖时,没有评估过对生产环境安全性的影响,当然也可能是无法评估,因为没有任何能反映该项目安全性的数据和信息。
诸如谷歌这类大型公司会为此制定相关规范,他们要求工程师在引入新的开源依赖时必须遵循相应的系统规定和流程,但这一过程往往会很繁琐、需要手动操作且容易导致出错。即便已制定规范,但要真正执行也是一个问题,原因是许多项目和开发者受到资源限制,安全相关的工作在任务列表中往往处于最低优先级,因此导致关键项目无法遵循良好的最佳安全实践,从而容易遭受攻击。
受此类问题困扰的谷歌开发了名为“Scorecards”的新项目,并在上周由开源安全基金会 (OpenSSF) 宣布开源。