SEC06-01 安全合规使用开源软件

开源软件在现代软件开发中的重要性不言而喻。越来越多的企业选择使用开源软件来开发和部署软件应用程序。开源软件的使用必须严格遵守合法合规的底线，包括开源软件的来源、漏洞管理、可追溯、归一化及生命周期管理等方面。

• 风险等级

  高

• 关键策略
  • 来源可靠。由于开源软件是公开的，因此黑客和攻击者可以更容易地找到其中的漏洞和安全隐患，从而进行攻击和入侵。确保引入的开源软件来源于正规社区官网、供应商官网或厂家官网。
  • 明确软件许可要求。确保引入的开源软件有明确的许可证或签订有相关使用协议。确保按许可要求使用开源，遵守相关的开源许可证和法律法规要求，避免知识产权、License带来的法律风险。应当履行开源义务，避免导致产品或企业的声誉受损。
  • 归一化管理。企业应进行开源软件归一化管理，对开源软件的引入进行归一，建立优选库、路标库，减少开源的种类和数量。牵引团队使用优选的开源软件，保障使用质量和安全。
  • 降低开源漏洞的影响。开源软件的安全漏洞传播快，影响大。一旦出现安全漏洞，快速排查受影响的产品并进行修复是降低影响的关键。
  • 可追溯。对开源软件的变更过程可控、有记录可查，建立产品版本与第三方软件及漏洞的关系。