Google 提出应对开源软件漏洞的框架：了解、预防、修复

Google 提出了一个应对开源软件漏洞的框架 —— “了解，预防，修复”。

随着开源软件的流行，开源软件的安全性也越来越受到重视。然而，在实践中却很难形成一套针对开源软件安全问题的完善解决方案，因为其涉及到很多方面，包括供应链、依赖管理、身份和构建管道等等。对此，Google 提出了一个应对开源软件漏洞的框架，即“了解，预防，修复”。该框架围绕形成原数据和身份标准的共识、增强关键软件的透明度和审阅来展开，并将重点工作分为三类，即了解软件中的漏洞、防止添加新漏洞以及修复或者删除漏洞。

在这些工作中，该框架提出了一些具体措施，比如确定基础结构和行业标准以构建漏洞数据库、准确跟踪软件依赖关系、通过 OpenSSF 的 Security Scorecards 项目来为开源软件安全系数评分并帮助防御域名抢注攻击、优先修复广泛使用的版本等等。

此外，该框架特别强调，对于“关键”开源项目（比如 OpenSSL 或密钥加密库之类的软件），应该采用更严格的标准，包括不对关键软件进行单方面更改、对关键软件参与者的身份验证、增加软件工作透明度以及增强构建过程可信度。

关于该“了解，预防，修复”框架详细内容，可以前往其官方博客查阅。