Entender a segurança de código aberto na Microsoft
O cenário de software livre (OSS) está crescendo rapidamente, tanto na quantidade de componentes disponíveis como na complexidade de suas interações. A Microsoft adota o uso de OSS para criar produtos e serviços que beneficiam nossos clientes e, ao mesmo tempo, compreende os desafios legais e de segurança associados ao OSS.
A Microsoft adotou uma estratégia de alto nível para gerenciar a segurança de software livre. Nossa estratégia de segurança de software livre aproveita ferramentas e fluxos de trabalho projetados para:
- Entender quais componentes de software livre estão sendo usados em nossos produtos e serviços.
- Acompanhar onde e como esses componentes são usados.
- Determinar se esses componentes têm vulnerabilidades.
- Responder corretamente quando forem descobertas vulnerabilidades que afetam esses componentes.
Governança de Componentes (CG)
As equipes de engenharia da Microsoft mantêm a responsabilidade pela segurança de todos os softwares livres incluídos em um produto ou serviço. Para fazer isso em escala, a Microsoft criou recursos essenciais em sistemas de engenharia por meio de CG, que automatizam a detecção de software livre, fluxos de trabalho de requisitos legais e alertas para componentes vulneráveis.
As equipas de engenharia da Microsoft utilizam o CG para detetar componentes open source em versões de software do Microsoft Online Services e quaisquer vulnerabilidades de segurança ou obrigações legais associadas. Os componentes recém-detetados são registados e submetidos às equipas adequadas para revisões empresariais e de segurança. Essas revisões foram projetadas para avaliar quaisquer obrigações legais ou vulnerabilidades de segurança associadas a componentes de software livre e resolvê-las antes de aprovar componentes para implantação.