Принципы безопасности при использовании ПО с открытым исходным кодом в корпорации Майкрософт
Программное обеспечение с открытым исходным кодом быстро завоевывает позиции: возрастает как число доступных компонентов, так и сложность их взаимодействия. Корпорация Майкрософт использует ПО с открытым исходным кодом для создания нужных нашим клиентам продуктов и услуг, но при этом осознает возникающие юридические сложности и вызовы безопасности.
Корпорация Майкрософт разработала генеральную стратегию управления безопасностью при использовании открытого кода. Наша стратегия обеспечения безопасности при использовании открытого кода предполагает применение различных средств и рабочих процессов, чтобы:
- понимать, какие компоненты с открытым исходным кодом используются в наших продуктах и службах;
- отслеживать, где и как используются эти компоненты;
- определять наличие уязвимостей у таких компонентов,
- реагировать должным образом при обнаружении уязвимостей, влияющих на работу этих компонентов.
Управление компонентами
Разработчики Майкрософт несут ответственность за безопасность всего программного обеспечения с открытым исходным кодом, использующегося в продуктах и службах Майкрософт. Чтобы делать это в должном масштабе, корпорация Майкрософт встроила в инженерные системы необходимые возможности, используя систему управления компонентами, которая автоматизирует процессы обнаружения ПО с открытым кодом, обработки юридических вопросов и оповещения о наличии уязвимых компонентов.
Специалисты разработчиков Майкрософт используют CG для обнаружения компонентов с открытым кодом в сборках программного обеспечения Microsoft Online Services и любых связанных уязвимостей системы безопасности или юридических обязательств. Новые обнаруженные компоненты регистрируются и отправляются соответствующим командам для проверки бизнеса и безопасности. В ходе проверки оцениваются все юридические обязательства и уязвимости для системы безопасности, связанные с использованием компонентов с открытым исходным кодом, и проблемы устраняются до того, как эти компоненты будут приняты для развертывания.