了解 Microsoft 的開放來源安全性
無論是在可用元件的數量上,還是在它們互動的複雜性上,開放原始碼軟體 (OSS) 領域均迅速地增長。 Microsoft 鼓勵使用 OSS 來建立可讓客戶受益的產品與服務,但同時也了解與 OSS 相關的法律與安全性挑戰。
Microsoft 已採用管理開放原始碼安全性的高層級策略。 我們的開放原始碼安全性策略會利用工具和工作流程以:
- 了解我們的產品和服務中使用哪種開放原始碼元件。
- 追蹤這些元件的使用位置和方式。
- 判斷這些元件是否具有任何弱點。
- 發現影響這些元件的弱點時,作出適當回應。
元件控管 (CG)
Microsoft 工程小組會負責產品或服務中包含的所有開放原始碼軟體的安全性。 為了大規模達成此目標,Microsoft 已透過 CG 在工程系統中建入必要的功能,以自動化開放原始碼偵測、法律要求工作流程,以及針對含漏洞之元件發出警示。
Microsoft 工程小組會使用 CG 來偵測 Microsoft Online Services 軟體組建中的開放原始碼元件,以及任何相關聯的安全性弱點或法律義務。 新探索到的元件會註冊並提交給適當的小組,以進行商務和安全性檢閱。 這些審查旨在評估與開放原始碼元件相關的任何法律義務或安全性弱點,並在核准部署元件前加以解決。