了解 Microsoft 的开源安全性
开放源代码软件 (OSS) 的布局在可用组件数量和交互复杂性方面都迅速增长。 Microsoft 支持使用 OSS 来构建使客户受益的产品和服务,同时了解与 OSS 相关的法律和安全挑战。
Microsoft 采用了管理开放源代码安全性的高级策略。 开源安全策略利用工具和工作流旨在:
- 了解产品和服务中使用哪些开放源组件。
- 跟踪这些组件的使用位置和方式。
- 确定这些组件是否具有任何漏洞。
- 当发现影响这些组件的漏洞时,请正确响应。
组件管理 (CG)
Microsoft 工程团队负责产品或服务中包含的所有开源软件的安全性。 为了全面实现此目标,Microsoft 通过 CG 将基本功能内置到工程系统中,从而自动执行开源检测、法律要求工作流和易受攻击组件的警报。
Microsoft 工程团队使用 CG 来检测 Microsoft Online Services 软件版本中的开源组件以及任何相关的安全漏洞或法律义务。 新发现的组件将注册并提交给相应的团队进行业务和安全评审。 这些审查旨在评估与开放源代码组件关联的任何法律义务或安全漏洞,并在批准部署组件之前解决这些漏洞。