开源软件安全度走向成熟 企业该如何制定安全策略？

根据近日发布的一项调查结果显示，那些制定了开源软件(OSS)安全策略的企业，往往在自我评估就绪程度方面有更好的表现，而且他们通常都有自己专门的团队负责推动软件安全性。 本周二，软件安全公司Snyk和Linux Foundation公布了一项调查结果，发现那些制定了开源软件安全策略的企业中，10家有7家认为他们的应用开发是高度安全的、或者有一定安全性的。相比之下，那些尚未制定安全策略的企业中，只有45%认为自己是有某种程度的安全性的。 Snyk公司开发者关系总监Matt Jarvis表示，开源软件对应用开发有很大的好处，但企业也必须认识到开源软件的缺点并为此做好准备。 他说：“虽然开源是创新和构建高质量软件的一种经过验证的机制，但取得成功的同时也成为了自身的牺牲品，因为开源软件无处不在导致它成为了供应链攻击的一大目标。企业需要加深对开源工作机制的理解，包括治理和代码，并通过采用开发者优先的安全工具和方法，来加强他们的供应链管理。”

规模较小的企业在开源软件安全策略方面有所落后

总体来看，只有大约一半的企业制定了开源安全策略来指导开发者使用各种组件和框架，而更多的小公司（60%）要么没有相关策略，要么根本不知道自己是否有策略。 报告指出，对于初创公司和小型公司来说，他们从经济性的角度考虑往往会降低制定安全策略的优先级。 报告指出：“小型组织的IT人员和预算很少，业务的功能需求往往优先考虑的，这样业务才能保持竞争力。缺乏资源和时间，是组织没有解决开源软件安全最佳实践的主要原因。”