【项目实战】SBOM ,开源软件常见问题

已于 2023-11-09 11:17:05 修改
阅读量375 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 004 - 研效与DevOps运维工具链 文章标签: 开源软件
于 2023-07-12 11:19:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wstever/article/details/131515364
本文探讨了开源软件的选型评估,强调了社区活跃度、安全性和法律风险。介绍了开源软件的使用和维护,包括版本对比、接口封装和二次开发。同时指出开源软件存在的问题,如版本不一致、安全隐患和多副本风险。提出了版本归一、定期漏洞扫描等使用原则,并简述了npm、Maven、Sonatype、Python和Centos等开源软件社区的特点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、开源软件选型评估

针对产品关注的关键需求和客户需求,建议产品参考一下评估项进行筛选(可自定义)
(1) 是否满足产品需求(如功能实现、平台移植、性能表现优异、软件与现有软件接口一致等)
(2) 是否有配套足够的高质量文档支撑(对应社区、开发指南)
(3) 是否开源软件社区活跃度高
(4) 是否符合产品技术路线需求
(5) 是否满足公司安全基线和客户安全基线
(6) 是否不含业界公开的高危漏洞
等等
开源软件的引入可能存在法律风险,必要时需要公司法务团队参与评估

二、开源软件使用和维护

(1) Owner关注开源社区的BUG解决及版本更新,针对更新,下载码并通过工具进行对比,针对对比差异点进行源码分析,分析要点:
-分析接口变更情况,是否具备向前兼容性,对业务代码的影响
-分析开源代码使用的第三方包,查看包之间的依赖关系,并分析是否与当前版本中依赖的三方包存在冲突。比如开源软件依赖的三方包与我们依赖的三方包同源,但版本不一致,有可能造成代码编译或运行失败等
-当分析出差异化后,然后进行测试验证,确保能够正常工作后再合入版本

(2) 在版本设计过程中考虑后期开源版本的更新,对使用的开源软件功能进行接口封装,确保业务代码不被开源

了解本专栏 订阅专栏 解锁全文 超级会员免费看
项目实战SBOM开源协议:解码代码世界的“使用规范,常见的开源软件协议优缺点对比(常用的开源软件协议分类:GPL、MIT、BSD、Apache等)
本本本添哥
03-30 1003
常见的开源软件协议有GPL、MIT、BSD、Apache等,它们各有优缺点。选择合适的开源协议需要根据具体情况进行权衡和选择。不同的开源软件协议适用于不同的场景和需求,需要根据具体情况进行选择和判断。如果您希望使用开源软件,可以根据您的实际需求选择适合您的开源软件协议。
项目实战SBOM ,客户让我提供Sbom软件清单?
本本本添哥
06-08 1267
当前 SBOM 有三种最为主流的格式,他们分别为: SPDX、 SWID以及 CycloneDX。
构建开源供应链安全的软件物料清单(SBOM)
qzt961003的博客
07-08 1956
今天,开发人员频繁的在开源软件库的基础上构建web 应用程序。然而,尽管这些库构成了软件物料清单(SBOM)组件库,但并非所有开发人员和业务涉及者都理解第三方库对开源供应链安全的重大影响。考虑到这一点,我们有必要对此进行详细的探讨。...
探索微软开源SBOM工具:透明化供应链的安全基石
gitblog_00044的博客
03-26 638
探索微软开源SBOM工具:透明化供应链的安全基石 sbom-toolThe SBOM tool is a highly scalable and enterprise ready tool to create SPDX 2.2 compatible SBOMs for any variety of artifacts.项目地址:https://gitcode.com/gh_mirrors/sb...
微软开源 SBOM 生成工具sbom-tool下载及使用详解
dahuamiao111的博客
03-01 1756
SBOM
探索开源新星:`sbom-service` —— 高效软件包物料清单管理
gitblog_00077的博客
04-08 709
探索开源新星:sbom-service —— 高效软件包物料清单管理 去发现同类优质开源项目:https://gitcode.com/ 在现代软件开发中,了解和管理你的依赖项已经变得至关重要。这就是sbom-service项目的意义所在。它是一个用于生成和管理软件包物料清单(Software Bill of Materials, SBOM)的开源服务,帮助开发者更好地追踪、管理和控制他们的代码依赖...
开源项目SBOM-Tool常见问题解决方案
gitblog_00294的博客
01-19 855
开源项目SBOM-Tool常见问题解决方案 sbom-tool The SBOM tool is a highly scalable and enterprise ready tool to create SPDX 2.2 compatible SBOMs for any variety of artifacts. ...
项目实战SBOM ,常见的CVE类似产品和平台(NVD、OSVDB、Exploit-DB)
本本本添哥
12-07 664
NVD(National Vulnerability Database,全国漏洞数据库):美国国家标准与技术研究所(NIST)是NVD的发布机构,它汇集了来自各行业、部门以及学术机构的漏洞信息。Exploit-DB(Exploit DataBase,漏洞利用数据库):世界上最大的关于漏洞利用和POC的数据库,包括漏洞信息、测试和开发代码,以供安全研究人员参考和使用。以上是一些常见的CVE类似产品和平台,它们都旨在帮助用户及时了解公共安全漏洞和曝光,并提供解决方案和参考资料。
软件工程领域开源技术的未来趋势展望
软件工程实践的博客
05-20 1004
本文旨在系统性地分析开源技术在软件工程领域的未来发展趋势,涵盖技术架构、开发流程、商业模式等多个方面。研究时间跨度设定为未来5-10年,重点关注可能产生重大影响的技术革新和范式转变。文章首先回顾开源技术的发展现状,然后从技术、协作、商业三个维度分析未来趋势,最后讨论面临的挑战和应对策略。每个部分都包含详细的技术分析和案例研究。:在企业内部采用开源开发实践的方法论云原生(Cloud Native):专为云环境设计的应用开发和部署方法:软件物料清单,记录软件组件及其依赖关系技术融合。
SBOM Tool
xixixixixixixi21的博客
02-25 421
SBOM Tool 即软件物料清单工具,用于详细列出软件系统中的组件,将识别和记录软件系统中每一个外部代码或内部模块的过程自动化,为软件组件提供清晰的目录,以确保软件开发和维护的透明度2。
SBOMQS 开源项目使用教程
gitblog_00089的博客
06-21 512
SBOMQS 开源项目使用教程 sbomqs SBOM quality score - Quality metrics for your sboms 项目地址: https://gitcode.com/gh_mirrors/sb/sbomqs ...
错把 SBOM 当“配料表”,难怪开源治理做不起来
weixin_55163056的博客
07-25 1482
SBOM软件物料清单管理平台,可帮助用户快速了解软件构成,提高软件透明度,提前识别消除开源组件的漏洞、安全缺陷和许可风险,是用户提高软件安全性与开发效率,满足合规要求的有力工具
如何使用微软的开源工具生成 SBOM
学海无涯苦作舟的博客
10-05 3562
SBOM (软件物料清单)通过列出您的代码所依赖的软件包和供应商来帮助您了解您的软件供应链。SBOM 正迅速获得发展势头,作为在现实世界供应链受到重大攻击后帮助提高安全性的一种方式。SBOM 的主要支持者之一是微软,该公司早在 2021 年 10 月就发布了针对他们这一代的方法。今年早些时候,该公司开源了其用于在 Windows、macOS 和 Linux 上生成 SBOM工具。在本文中,您将学习如何开始使用该项目来索引代码的依赖项。它生成与 SPDX 兼容的文档,列出项目中的文件、包和关系。
开源软件使用的风险和应对方法
KDE的博客
05-30 8482
随着软件系统研发速度的日益敏捷,世界上出现了大量可复用的开源软件。对于个人来说,使用开源软件构建一个非商业的软件系统是没有太多限制的,但对于一个企业或公司来说,软件系统是对外售卖或者对外提供服务的,是具有商业行为的,在这种情况下不了解开源软件的使用要求,就贸然使用会给企业带来巨大的风险。 笔者从事开源软件使用合规工作已经第3个年头了,今天就来总结下企业在使用开源软件时存在的风险和问题,以及如何解决或规避这些问题。(注:后续文章中提到的软件、软件系统和产品都是指可对外售卖的软件产品,后文不再对这三个名词作详
「势说新语」SBOM 在企业软件供应链管理中的重要性—安全漏洞篇
Sectrend的博客
06-17 1310
国内互联网企业大多已经采用 DevOps 的研发流程,那么把开源漏洞扫描融入到 DevOps 的工具链中,才能实现漏洞的早发现、早跟踪、早处理。在流程中的 SCA、SAST、DAST、IAST 等等测试就组成了 DevSecOps。企业需要建立标准化格式的软件物料清单(SBOM)来进行开源组件的管理。...
【2025CCF中国开源大会】OpenChain标准实践:AI时代开源软件供应链安全合规分论坛重磅来袭!
CCF开源发展委员会的博客
06-23 541
2025 CCF 中国开源大会特别设立 “OpenChain 标准实践:AI 时代开源软件供应链安全合规” 分论坛,旨在汇聚行业内的法律专家、企业代表、软件成分分析(SCA)厂商等各方力量,共同探讨安全合规管理实践,分享合规要求及国际社区动态,为开源软件产业的健康发展保驾护航。专注于通信、安全和业务发展领域。汇聚法律专家、企业代表、技术专家等不同领域的专业人士,从法律、技术、管理等多个维度探讨开源安全、开源合规的发展趋势,为您呈现一场精彩纷呈的思想盛宴,与您共同应对行业挑战,开创开源软件产业的美好未来。
基于云计算技术社区卫生服务平台.ppt
最新发布
07-04
基于云计算技术社区卫生服务平台.ppt
opencv_python-4.7.0.72-cp37-abi3-macosx_11_0_arm64.whl
07-04
该资源为opencv_python-4.7.0.72-cp37-abi3-macosx_11_0_arm64.whl,欢迎下载使用哦!
KMEANSK均值聚类算法C均值算法课件.ppt
07-04
KMEANSK均值聚类算法C均值算法课件.ppt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

本本本添哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值