白宫曾为提高开源安全性邀请软件行业者座谈

时间：2022-01-23 15:27:59

就比如阿里、腾讯这样的大型企业，他们经常会把他们做的非常好的方案开源供大家使用，让开发者使用更方便，解决一些行业的一些难题。就拿目前影响力非常大的开源软件——安卓来说，若没有安卓的开源开放，那么今天就不会出现那么多的手机厂商。或者以大家熟知的btc、eth为例，各种各样的数字hb层出不穷，就是因为btc的源代码被发送到了GitHub。自此以后，成百上千的数字hb以btc代码为基础进行修改。波长就是抄袭了eth源代码修改发行的。

软件代码成分分析（SCA）技术是指通过对软件的组成进行分析，识别出软件中使用的开源和第三方组件（如底层库、框架等等），从而进一步发现开源安全风险和第三方组件的漏洞。通常，SCA的检测目标可以是源代码、字节码、二进制文件、可执行文件等的一种或几种。

当第一次将代码公开在网络上，第一次意识到自己的代码会被别人注意到的时候，不自觉的就会感受到开源门槛的高度，因为我们每一个人都想要把自己最好的一面展示出来，开源也是同理。因为要展示出来，所以对自己的要求也会提高，迫使我们去提升自身代码的优雅程度，让他人更易读、更易懂。

欢迎支持和关注BtOfficer，一个支持开源和闭源相对平衡的业余编码者。如果用户足够多，说明代码能帮助很多人，开源能产生社会意义。如果用户稀少，开源给谁看呢？笔者的安全生产力框架，将基于该原则确定是否开源，以及如何开源，欢迎大家关注！

我们理想的开源，实际上代码并不是最关键的，最关键的是人。在一开始的时候，我们会觉得开源最重要的是代码，于是很多关于开源软件的争论会集中在代码在哪里，属于谁。实际上因为大部分开源软件许可证允许任意拷贝并且授权代码里面的专利给代码使用人，代码本身在哪里并不是最关键的问题。

现今，开源安全问题越来越受到重视，此前白宫曾为提高开源安全性邀请软件行业者座谈。开源软件安全基金会（OpenSSF）总经理还曾提出安全扫描、外部审计、依赖跟踪、测试框架、组织范围的安全团队以及要求项目删除旧代码、易受攻击的代码这七点措施来降低安全风险。不管如何，开源安全问题的重要性不用多说，未来的开源世界开需要我们一起守候，开源安全问题需要我们共同努力。

标签：软件