Microsoft オープン ソースセキュリティを理解する
オープン ソース ソフトウェア (OSS) の展望は、利用可能なコンポーネントの数とそれらの相互作用の複雑さの両方において急速に成長しています。 Microsoft は、OSS の使用を受け入れ、OSS に関連する法的およびセキュリティ上の課題を理解しながら、お客様に利益をもたらす製品とサービスを構築します。
Microsoft は、オープン ソースのセキュリティを管理するための高レベルの戦略を採用しています。 私たちのオープン ソースのセキュリティ戦略は、次のように設計されたツールとワークフローを活用しています。
- 当社の製品およびサービスで使用されているオープン ソース コンポーネントを理解します。
- これらのコンポーネントがどこでどのように使用されているかを追跡します。
- それらのコンポーネントに脆弱性があるかどうかを確認します。
- これらのコンポーネントに影響を与える脆弱性が発見された場合は、適切に対応します。
コンポーネント ガバナンス (CG)
Microsoft のエンジニアリング チームは、製品またはサービスに含まれるすべてのオープン ソース ソフトウェアのセキュリティに対する責任を維持します。 これを大規模に実現するために、Microsoft は、オープン ソースの検出、法的要件のワークフロー、および脆弱なコンポーネントのアラートを自動化する CG を通じて、エンジニアリング システムに不可欠な機能を組み込みました。
Microsoft エンジニアリング チームは CG を使用して、Microsoft Online Services ソフトウェア ビルドのオープンソース コンポーネントと、関連するセキュリティの脆弱性または法的義務を検出します。 新しく検出されたコンポーネントが登録され、ビジネスレビューとセキュリティ レビューのために適切なチームに送信されます。 これらのレビューは、オープン ソース コンポーネントに関連する法的義務またはセキュリティの脆弱性を評価し、コンポーネントの展開を承認する前にそれらを解決するように設計されています。