Descripción de la seguridad de código abierto en Microsoft
El panorama del software de código abierto (OSS) está creciendo rápidamente, tanto en la cantidad de componentes disponibles como en la complejidad de sus interacciones. Microsoft acepta el uso de OSS para crear productos y servicios que benefician a nuestros clientes, a la vez que comprende los desafíos legales y de seguridad asociados con el OSS.
Microsoft ha adoptado una estrategia de alto nivel para administrar la seguridad de código abierto. Nuestra estrategia de seguridad de código abierto aprovecha las herramientas y los flujos de trabajo diseñados para:
- Comprender qué componentes de código abierto se usan en nuestros productos y servicios.
- Realizar un seguimiento de dónde y cómo se usan esos componentes.
- Determinar si esos componentes tienen vulnerabilidades.
- Responder correctamente cuando se detecten vulnerabilidades que afecten a esos componentes.
Gobernanza de componentes (CG)
Los equipos de ingeniería de Microsoft mantienen la responsabilidad de la seguridad de todo el software de código abierto incluido en un producto o servicio. Para lograr esto a escala, Microsoft ha integrado funcionalidades esenciales en los sistemas de ingeniería a través de CG, que automatiza la detección de código abierto, los flujos de trabajo de requisitos legales y las alertas de componentes vulnerables.
Los equipos de ingeniería de Microsoft usan CG para detectar componentes de código abierto en compilaciones de software de Microsoft Online Services y cualquier vulnerabilidad de seguridad o obligaciones legales asociadas. Los componentes recién detectados se registran y envían a los equipos adecuados para las revisiones empresariales y de seguridad. Estas revisiones están diseñadas para evaluar las obligaciones legales o las vulnerabilidades de seguridad asociadas a los componentes de código abierto y resolverlas antes de aprobar los componentes para la implementación.