随着越来越多的公司在其软件中依赖开源组件，保护这些组件的安全变得越来越重要。在今天进行的一项Google活动中，开源专家探讨了如何确保开源软件的安全。援引外媒 Dark Reading 报道，这些讨论的话题还包括公司应该优先考虑什么，以及采取什么样的措施来改善开源安全的现状。

Synopsys 公司指出，平均每个软件程序至少依赖 500 个开源库和组件，比 2 年前的 298 个依赖项增长了 77%。一般软件程序中超过 75% 的代码由开源库和组件组成，84% 的应用程序至少有一个漏洞，平均每个应用程序有 158 个。

在关于开源供应链安全的演讲中，Google软件工程师 Dan Lorenc 建议公司了解他们在使用什么。他承认，这一步看起来很明显，但并不容易，特别是当开发者开始创建和发布工件，并将工件与其他工件结合起来时。当一个漏洞被报告时，不管是无意的还是恶意的，不知道什么在操作，都会让你陷入困境。

治理和不断审计新的依赖关系，无论是内部还是开放源码，都是保障软件的有效策略。Lorenc 补充说，这种控制也可以延伸到你使用的组件，并指出这对大多数公司来说也是一个困难的步骤。此外，要验证二进制包的内容是很困难的，但也不一定非要全盘否定。另一方面，生成和编译代码是开放源码的一部分。知道你可以在需要时进行构建是成功的一半，表明你对进入你的应用程序的代码有控制权。

Lorenc 强调，企业应该有计划地处理零日漏洞和已知问题。零日漏洞通常情况下会称为头条更容易受到关注，企业应该有一个应急策略来迅速修补它们。此外，一些老的漏洞由于关注度不高而始终没有得到修复。在运行各种环境和系统的大型组织中，这些问题很容易被忽视。