Informazioni sulla sicurezza open source in Microsoft
Il panorama del software open source (OSS) è in rapida crescita, sia in termini di quantità di componenti disponibili che di complessità delle loro interazioni. Microsoft utilizza gli OSS per creare prodotti e servizi a vantaggio dei clienti, comprendendo al tempo stesso le problematiche legali e di sicurezza associate agli OSS.
Microsoft ha adottato una strategia di alto livello per la gestione della sicurezza dei software open source. La nostra strategia per la sicurezza dei software open source sfrutta gli strumenti e i flussi di lavoro progettati per:
- Conoscere i componenti open source usati nei prodotti e nei servizi Microsoft.
- Tenere traccia della posizione e del modo in cui vengono usati tali componenti.
- Determinare se tali componenti presentano vulnerabilità.
- Rispondere correttamente quando vengono individuate vulnerabilità che interessano tali componenti.
Governance dei componenti (CG)
I team di progettazione Microsoft sono responsabili della sicurezza di tutto il software open source incluso in un prodotto o servizio. Per garantire una protezione su larga scala, Microsoft ha integrato funzionalità essenziali nei sistemi di progettazione tramite la CG, che automatizzano il rilevamento open source, i flussi di lavoro dei requisiti legali e gli avvisi sui componenti vulnerabili.
I team di progettazione Microsoft usano CG per rilevare i componenti open source nelle build software di Microsoft Online Services e le eventuali vulnerabilità di sicurezza o obblighi legali associati. I componenti appena individuati vengono registrati e inviati ai team appropriati per le verifiche aziendali e di sicurezza. Queste verifiche sono progettate per valutare eventuali obblighi legali o vulnerabilità di sicurezza associati ai componenti open source e risolverli prima di approvare la distribuzione dei componenti.