写点什么

开源代码安全 | 微软是如何应对开源代码安全问题的?

  • 2022-10-31
    上海
  • 本文字数:1441 字

    阅读完需:约 5 分钟

开源代码安全 | 微软是如何应对开源代码安全问题的?

微软公司在全球都享有盛名,拥有庞大的员工数量,其中包括了约 8.5 万名软件开发人员。同时,这也带来了相当多的开源代码的引入。为了保证这些开源软件包的安全,他们需要一款报警准确、易于使用,并能为修复提供可行性建议的工具。阅读本篇文章,您能了解到微软选择了什么样的工具,以及为何选择。


龙智作为 DevSecOps 解决方案提供商、Mend(原 WhiteSource)授权合作伙伴,始终关注开源代码安全问题,致力于帮助您将“安全”理念真正落地在 DevOps 的实践中。欢迎联系我们,了解如何通过 SCA 工具 Mend 解决开源代码安全问题。



微软是全球最著名的公司之一。主要生产计算机软件、消费类电子产品和个人电脑,提供如云服务等相关服务。微软在全球拥有 18.1 万名员工,其中包括约 8.5 万名软件开发人员。


面临的挑战


微软的开发人员使用了很多开源软件。在微软的整个代码库中,有超过 8 万个不同的开源软件包被使用了超过 1100 万次。


为了帮助微软的 85,000 名开发人员能够安心地使用开源软件,微软 1ES 团队——一个选择和管理微软开发人员所使用的工具的团队,负责寻找最好的开源软件安全工具。他们想要一个非常准确、易于使用,并能够为修复脆弱的开源包提供可行性建议的工具。


微软为什么选择 Mend 解决方案


微软选择 Mend 有几个原因:


  • 高精准度。微软 1ES 团队的工程总监马格努斯·赫德伦德表示:“让开发人员失去信任最简单的方式就是给他们一个误报信息。如果出现误报的情况,开发人员就不会再使用这个工具。现在,微软依靠 Mend 来提供高质量的建议,而且误报率非常低。”

  • 易用性。马格努斯·赫德伦德说:“我们将修补漏洞检测直接集成到开发人员的工作流程中。开发人员无需做任何事,Mend 就会自动扫描漏洞,并通知他们哪些代码易受攻击。”

  • 高效的补救建议。“识别这些漏洞,并告诉开发人员他们面临这个问题,这都是很有用的,但如果不告诉他们如何修复这个问题,他们就很难提高交付质量。”如果没有补救建议,只是提高没人能处理的警报的数量,这毫无意义。Mend 提供的详细补救建议,让微软工程师能够快速将他们的软件包升级到更强健的版本。”


“对我们来说,与一家紧跟行业新趋势的公司合作非常重要,要确保他们的数据是准确的。但最重要的方面之一是我们得到的数据需是可操作的。我们需要得到一套系统性的、正确的建议。”


Mend 给微软带来了什么?


微软 1ES 安全工具组的经理布莱恩·沙利文说:“Mend 在帮助识别我们哪里有潜在风险或不安全的开源软件,并尽早解决这些问题方面发挥着不可或缺的作用。我们依靠 Mend 提供出色的补救指导。补救指导对于帮助开发人员每次都正确地修复问题非常重要。”


微软 1ES 团队的主管普南·古普塔说:“与 Mend 公司合作是一个正确的决定。当我们有了系统的正确建议时,感觉更安心了。Mend 所能提供的已经超出了我们的需求,它扩展到了我们想要覆盖的生态系统中。总的来说,与 Mend 公司合作是一个伟大的决定。”


Mend——您编码,我修复


Mend,原 WhiteSource,可以轻松地保护开发人员创造的内容。Mend 以其独特的方式消除企业对应用程序安全的负担,让开发团队能够更快地交付高质量、安全的代码。在满足复杂和大规模应用程序安全的需求方面,Mend 的口碑一向很好,所以要求严苛的软件开发人员都信赖 Mend。Mend 拥有超过 1000 家客户,其中包括 25%的《财富》100 强公司。


如需了解更多关于开源代码检测工具 Mend 的详细信息,请联系Mend中国授权合作伙伴——龙智,我们为您提供 Mend 从咨询、销售、培训、实施部署、运维、技术支持到定制开发的全方位服务:

官网:www.shdsd.com

电话:400-666-7732

邮箱:marketing@shdsd.com

用户头像

还未添加个人签名 2021-05-18 加入

分享DevSecOps解决方案最新动态,帮助您学习与使用Atlassian, Perforce, Whitesource, Cloudbees及龙智自研产品,实现软件研发的高度协同与自动化,提高交付效率与质量,并确保开发过程可追溯、可度量。

评论

发布
暂无评论
开源代码安全 | 微软是如何应对开源代码安全问题的?_开源_龙智—DevSecOps解决方案_InfoQ写作社区