SDL 62/100问:如何处理扫描出的三方组件开源协议风险?
在国内,这类事件带来的风险事件还比较少,感受比较明显的是公司收到过QT的律师函。不过,从风险治理的角度来说,这类风险搞不好要打官司、不容忽视。有见过比较强管理的方法:不允许使用强传染性的开源组件,但是对业务造成的影响很大,况且安全团队并没有那么高的话语权;其次是对强传染性的协议进行分析,比如LGPL的组件,要用就必须以动态链接的方式,否则就得开源产品代码。
综合来讲,这类风险需要提前纳入治理计划,需要从高层建设治理组织,最好是从源头做统一的、公司级的开源组件管理。
更多内容,可以访问:
1、SDL 100问
SDL100问:我与SDL的故事
SAST误报太高,如何解决?
SDL需要哪些人参与?
SDL是否适合互联网公司?
如何计算安全评审的覆盖率?
研发安全管理用哪些工具?
ATT&CK与SDL能否混搭使用?
软件安全领域有哪些成熟度模型?
SDL 61/100问:如何在隔离环境中修复大量的Java漏洞?
2、SDL创新实践
首发!“ 研发安全运营 ” 架构研究与实践
DevSecOps实施关键:研发安全团队
DevSecOps实施关键:研发安全流程
DevSecOps实施关键:研发安全规范
从安全视角,看研发安全
数字化转型下的研发安全痛点
一个思考:安全测试驱动产品安全?
3、SDL最初实践
【SDL最初实践】开篇
【SDL最初实践】安全培训
【SDL最初实践】安全需求
【SDL最初实践】安全设计
【SDL最初实践】安全开发
【SDL最初实践】安全测试
【SDL最初实践】安全审核
【SDL最初实践】安全响应
4、软件供应链安全
软件供应商面临的攻防实战风险
软件供应商实战对抗十大安全举措
软件供应商攻防常规战之SDL
软件供应链投毒事件应急响应
浅谈企业级供应链投毒应急安全能力建设
5、安全运营实践
基于实践的安全事件简述
安全事件运营SOP:钓鱼邮件
安全事件运营SOP:网络攻击
安全事件运营SOP:蜜罐告警
安全事件运营SOP:webshell事件
安全事件运营SOP:接收漏洞事件
应急响应:redis挖矿(防御篇)
应急响应:redis挖矿(攻击篇)
应急响应:redis挖矿(完结篇)
应急能力提升:实战应急困境与突破
应急能力提升:挖矿权限维持攻击模拟
应急能力提升:内网横向移动攻击模拟
应急能力提升:实战应急响应经验