Comprendre la sécurité open source chez Microsoft
Le paysage des logiciels open source (OSS) connaît une croissance rapide, à la fois dans la quantité de composants disponibles et dans la complexité de leurs interactions. Microsoft met tout en œuvre pour créer des produits et services qui bénéficient de nos clients, tout en sachant également les défis juridiques et de sécurité associés aux systèmes d’exploitation.
Microsoft a adopté une stratégie de haut niveau pour la gestion de la sécurité Open source. Notre stratégie de sécurité Open source exploite les outils et flux de travail conçus pour :
- Comprendre les composants Open source utilisés dans nos produits et services.
- Suivez l’emplacement et la façon dont ces composants sont utilisés.
- Déterminez si ces composants présentent des vulnérabilités.
- Répondre correctement lorsque des vulnérabilités sont découvertes et qui affectent ces composants.
Gouvernance des composants (CG)
Les équipes Microsoft Engineering sont responsables de la sécurité de tous les logiciels open source inclus dans un produit ou un service. Pour y parvenir à l’échelle, Microsoft a intégré les fonctionnalités essentielles aux systèmes d’ingénierie via CG, ce qui permet d’automatiser la détection des sources ouvertes, les flux de travail de besoins juridiques et les alertes pour les composants exposés.
Les équipes d’ingénierie Microsoft utilisent CG pour détecter les composants open source dans les builds logicielles Microsoft Online Services et toutes les vulnérabilités de sécurité associées ou les obligations légales. Les composants nouvellement découverts sont enregistrés et soumis aux équipes appropriées pour les révisions métier et de sécurité. Ces examens sont conçus pour évaluer les obligations légales ou les vulnérabilités de sécurité associées aux composants Open source et les résoudre avant d’approuver les composants à des fins de déploiement.