Open Source Security bei Microsoft verstehen
Die Open-Source-Software-Landschaft wächst rasant, sowohl hinsichtlich der Anzahl verfügbarer Komponenten als auch der Komplexität ihrer Interaktionen. Microsoft nutzt OSS, um Produkte und Dienste zu entwickeln, die für unsere Kunden vorteilhaft sind, während Sie gleichzeitig die rechtlichen und Sicherheitsrisiken kennen, die mit OSS verbunden sind.
Microsoft hat eine allgemeine Strategie für die Verwaltung der Open Source-Sicherheit angenommen. Die Open Source-Sicherheitsstrategie nutzt Tools und Workflows, um zu:
- Verstehen, welche Open Source-Komponenten in unseren Produkten und Diensten verwendet werden.
- Erfassen, wo und wie diese Komponenten verwendet werden.
- Ermitteln, ob diese Komponenten Sicherheitsrisiken aufweisen.
- Bei ermittelten Sicherheitsrisiken, die sich auf diese Komponenten auswirken, angemessen zu reagieren.
Component Governance (CG)
Microsoft-Entwicklungsteams sind für die Sicherheit aller Open Source-Software, die in einem Produkt oder Dienst enthalten ist, verantwortlich. Um dies im großen Maße zu erreichen, hat Microsoft wichtige Funktionen über CG in Entwicklersysteme integriert. Diese automatisieren die Open Source-Erkennung, Arbeitsabläufe für gesetzliche Anforderungen und Warnmeldungen für Komponenten mit Sicherheitsrisiken.
Microsoft-Entwicklungsteams verwenden CG, um Open-Source-Komponenten in Microsoft Online Services-Softwarebuilds und alle damit verbundenen Sicherheitsrisiken oder gesetzlichen Verpflichtungen zu erkennen. Neu ermittelte Komponenten werden registriert und an die entsprechenden Teams für Geschäfts- und Sicherheitsüberprüfungen übermittelt. Diese Überprüfungen sind so ausgelegt, dass sie alle rechtlichen Verpflichtungen oder Sicherheitsrisiken auswerten, die mit Open Source-Komponenten verbunden sind, und diese beheben, bevor sie Komponenten für die Bereitstellung genehmigen.